Curs 8 Tesutul Nervos - Suport

Curs administratori de reţele Windows 2000
CURS ADMINISTRATORI REŢELE

WINDOWS 2000
Cursul 1
Sumarul cursului:
- elemente de reţele
- familia Windows 2000
- TCP/IP
- server DHCP
- Active Directory, discurile
- users, profile, grupuri
- foldere, fişiere, drepturi NTFS, share
- DFS (Distributed File System)
- politica de auditare
- terminal services
- regiştrii
- imprimante
- back-up
- instalare
- performanţele sistemului
- Internet Protocol Security
Reţele de calculatoare – generalităţi

Tipuri de reţele:
- LAN (Local Area Network), funcţionează la viteze foarte mari – 1 MB/sec. - pe
distanţe de maxim 2 km. Scop: partajarea informaţiilor şi perifericelor.
- WAN (Wide Area Network), reţele de arie întinsă – mii de km. Sunt alcătuite din LAN-
uri conectate la viteze mai mici.
- MAN (Metropolitan Area Network)
- CAN (Campus Area Network)
- GAN (Global Area Network)
- Internetul este o reţea de tip WAN sau GAN cu acces public, în care se folosesc unelte
specifice – de ex. motoare de căutare numite browsere.
- Intranetul reprezintă o parte dintr-un LAN echipat cu unelte de tip Internet
- Extranetul reprezintă acea parte din Intranet care este vizibilă din exterior. Nu este în
mod obligatoriu cu acces public.
Reţelele deschise (Open Network) reprezintă o reţea care acceptă toate tipurile de componente
hard şi soft. Se mai numesc şi reţele multivendor (acceptă produse de la producători diferiţi).
Avantajele reţelelor:
- partajarea informaţiilor, ceea ce permite lucrul în echipă şi lucrul de la distanţă
- partajarea resurselor şi perifericelor
Dezavantaje:
- resursele trebuiesc partajate şi administrate
- datele trebuiesc protejate iar sistemul trebuie securizat
Reţelele mari
Novell - a creat platforma Novel
- sistem de operare: NetWare v. 6.0
- serviciul de directoare: NDS (NetWare Directory Service)
- protocol de comunicaţie: IPX/SPX
Unix – a creat platforma Unix
Pagina 1 din 51
- sistem de operare: Linux
- staţii Sun
- protocol de comunicaţie: TCP/IP
Macintosh – creat de firma Apple
- sistem de operare: MacOS
- protocol de comunicaţie: AppleTalk
Microsoft – a creat platformele Windows NT 4, Windows 2000 şi Windows 2003
- serviciul de directoare: Active Directory
- protocol de comunicaţie: TCP/IP
Componentele fizice ale unei reţele

1. Calculatoare
2. Dispozitive de emisie-recepţie
3. Medii de transmisie
Mediile de transmisie
1. medii cu cale fixă (ghidate)
- folosesc cablările obişnuite: coaxiale, torsadate UTP/UTI5 şi fibre optice
2. medii fără cale fixă (neghidate)
- folosesc atmosfera şi spaţiul cosmic
Dispozitivele de emisie-recepţie
1. placa de reţea (adaptorul de reţea)
2. repetorul
3. hub-ul şi switch-ul
4. modemul
5. dispozitivele speciale de emisie-recepţie
1.placa de reţea
- este placa care asigură comunicarea între staţie şi reţea
- poate fi internă sau portabilă
- se conectează la reţea prin BNC (British Naval connector) în cazul cablului coaxial
sau prin conectorul RJ-45 în cazul cablului torsadat UTP/UTI5
2.repetorul
- preia semnalul şi-l retransmite
- se foloseşte pentru distanţe mai mari de 700 de metri
3.hub-ul şi switch-ul
- reprezintă punctul comun de conexiune între calculatoare
- tipurile noi au memorie şi procesor propriu
4.modemul
- modulator-demodulator pentru semnalul telefonic
5.dispozitivele speciale
- reprezintă dispozitive pentru diferitele medii de transmisie
Topologiile de reţea
- se referă la modalităţile de configurare ale reţelelor
- au o componentă fizică – schema fizică de conectare a dispozitivelor de mediu – şi o
componentă logică – schema electronică de comnunicare a dispozitivelor de mediu
Pagina 2 din 51
Topologiile fizice
- sunt de trei feluri: bus, stea şi inel
topologia bus
topologia bus distribuit sau arbore
topologia stea
hub
topologia şir de stele
hub hub
topologia inel
hub
Topologiile logice
topologiile bus:
- funcţionează cu topologie fizică bus sau stea
- semnalul este transmis în toate direcţiile
- fiecare staţie recepţionează semnalul
- prezintă două metode pentru accesul la mediu:
o metoda concurenţei sau a coliziunilor detectate CSMA/CD (Carrier Sense
Multiple Access with Collision Detection)
o metoda jetonului pasat Token-Passing
topologiile inel:
- funcţionează cu topologie fizică inel
- metoda TokenRing
Pagina 3 din 51
topologiile stea:
- switching (comutare de reţea)
- funcţionează numai cu topologie fizică stea şi numai cu switch-uri
- transmite semnalul direct la staţia de destinaţie
- huburile de tip nou ştiu să comuteze între tipurile de topologii
Tehnologia Ethernet
- este o topologie fizică de bus sau de stea
- foloseşte o topologie logică bus CSMA/CD cu hub
Tehnologia TokenRing
- foloseşte o topologie fizică inel şi logică inel
Softuri de comunicaţie
- trebuie să transfere date între 2 calculatoare de orice tip, orice fel de format de date, în
aceeaşi reţea sau între reţele diferite
- Open Systems Interconnections (OSI) elaborat de International Standards
Organization (ISO), este o colecţie de linii directoare pentru dezvoltarea de standarde
de comunicaţie
- un standard de comunicaţie specifică serviciile de comunicaţie şi protocoalele care se
vor folosi (reprezintă,de fapt, un set de servicii de comunicaţie)
- protocolul este un set de reguli urmate de dispozitivele de reţea pentru a comunica
între ele (conţine proceduri, funcţii şi coduri de control)
- modelul OSI are şapte nivele:
7. APPLICATIONS (aplicaţii)
- entitatea de bază = mesaje
- sunt încorporate servicii pentru aplicaţie – acţiuni şi resurse
6. PRESENTATIONS (prezentări)
- entitatea de bază = pachete de date
- pachetele de date se transformă în date criptate
5. SESSIONS (sesiuni)
- entitatea de bază = pachete de date
- funcţii pentru conexiuni user
- aici se grupează pachetele
4. TRANSPORTATION (trasport)
- entitatea de bază = segmentul de reţea
- izolează partea de user (7, 6, 5) de partea de reţea (3, 2, 1)
- urmăreşte siguranţa legăturii şi erorile la nivel de pachete
3. NETWORK (reţea)
- entitatea de bază = cadre (diagrame sau frame-uri)
- stabileşte routarea şi conexiunile de reţea
- pachetele sunt împărţite în cadre de date
2. DATA LINK (legături de date)
- entitatea de bază = cadre
- prezintă funcţii care urmăresc siguranţa legăturii fizice de la nivelul 1 şi
erorile la nivel de cadre
- funcţii care urmăresc curgerea şirului de biţi
1. PHYSICAL (fizic)
- entitatea de bază = şirul de biţi
- transport de şir de biţi, amplitudine semnal, durată semnal, etc.
Pagina 4 din 51
Protocoale
- la nivelele 6 şi 7: FTP, X400, SAP, FTAP, VTM
- la nivelul 5: TCP
- la nivelul 4: TCP, TP, SPX (Novell), AppleTalk, IBM NetBios
- la nivelu 3: IPX, SPX, X25, AppleTalk
- la nivelul 2: IEEE 802.2, PPP
- la nivelul 1: IEEE 802.3, IEEE 802.4, IEEE 802.5, FDDI, SONET (pentru fibre
optice)
- trebuiesc cunoscute cele şapte nivele OSI, precum şi cu ce se ocupă fiecare
Aplicaţie Date Datele sunt generate Date Aplicaţie

de utilizator pe
calculatorul emitent
Prezentare Date A A Date Prezentare
Sesiune Date A P P A Date Sesiune
Transport Date A P S S P A Date Transport
Reţea Date A P S T T S P A Date Reţea
Legătură A Legătură
Date A P S T R R T S P Date
de date de date
Fizic Date A P S T R D D R T S P A Date Fizic
Calculator emitent Mediu de reţea Calculator receptor
Sisteme de operare în reţea (Network Operating System)
- permit funcţionarea coerentă a componentelor

- există două tipuri: client-server şi peer-to-peer
Sisteme client-server
- au nevoie de un server cu sistem de operare în reţea instalat
- clienţii reprezintă toate dispozitivele sau procesele care elaborează cereri pentru
utilizarea resurselor sau serviciilor reţelei
- pe staţiile de lucru se instalează un soft de client
- softul de client preia cererea şi o trimite la server, după care preia răspunsul de la
server şi îl afişează clientului
- userul, prin operaţia de logare, se conectează la reţea (execută un log on)
- userul deţine un nume user şi o parolă
- serverul autentifică userul după numele de user şi după parolă
Sisteme peer-to-peer (de la egal la egal)
- toate staţiile sunt egale (sunt şi server şi client în acelaşi timp)
- fiecare calculator îşi administrează resursele
- userul trebuie introdus pe fiecare calculator în parte
- pentru reţele mai avem nevoie şi de sisteme de operare desktop, care se încarcă pe staţii
- sistemul de operare poate fi acelaşi pe server şi staţie (cazul Windows 2000) sau separat (cazul
Novell 4)
- softurile de aplicaţie reprezintă softurile de birotică sau aplicaţiile speciale (de contabilitate, de
gestiune, etc.)
- prin controling se înţeleg sistemele de urmărire a activităţilor şi plăţilor în cadrul unei întreprinderi
- sintaxa comenzii netsend:
net send [nume calculator][mesaj]
- dacă vrem să trimitem concomitent la toate staţiile, în loc de nume calculator tastăm *
- comanda net send se lansează din linia de comandă
Pagina 5 din 51
Cursul 2
14 Mai 2003
Internetworking (interreţea)
- termenul de internetworking desemnează o reţea de reţele

- o interreţea este o colecţie de reţele locale care foloseşte diferite dispozitive de
interreţea, cum ar fi bridge-urile, routerele şi gateway-urile
- un user dintr-o reţea are acces la celelalte reţele
- fiecare reţea are o adresă de reţea (adresă de segment) unică
Dispozitive folosite
- dispozitivele folosite într-o interreţea sunt bridge-urile, routerele şi gateway-urile
- ne permit transferul de date între două reţele cu adrese diferite de reţea
- aceste dispozitive pot fi harduri, softuri sau combinaţia lor (de ex. routerul poate fi un
soft sau poate fi componentă hard, iar în acest caz se numeşte router dedicat )
- routerele soft pot aparţine sistemului de operare, dar rulează numai pe server
Bridge-ul (puntea)
- lucrează la nivelul 2 din OSI (data link)
Data link
R1 R2
Fizic Fizic
- bridge-ul acţionează ca şi un filtru de adrese

- există două feluri de bridge: simplu şi cu translatare
- bridge-ul simplu nu poate translata între două protocoale diferite (trebuiesc folosite
aceleaşi protocoale la nivelele 1 şi 2)
- bridge-ul cu translatare poate conecta două reţele care folosesc protocoale diferite la
nivelele 1 şi 2
- începând de la bridge toate dispozitivele se bazează pe adresa MAC
- de la nivelul 3 toate protocoalele trebuie să fie identice, numai bridge-ul poate realiza
translatarea
Routerul
- lucrează la nivelul 3 din OSI (network)
Reţea
Data Data
R1 R2
Fizic Fizic
- recepţionează,reformatează şi retransmite pachetele de date asamblate de diferite

protocoale la nivelurile 1 şi 2
- există routere create pentru orice fel de combinaţii de protocoale
Pagina 6 din 51
Gateway-ul
- lucrează la toate nivelurile OSI
- le folosim când dorim să comunicăm între două calculatoare de arhitectură diferită
Aplicaţie Aplicaţie
Prezentare Prezentare
Sesiune Sesiune
R1 Transport Transport R2
Reţea Reţea
Legătură Legătură
de date de date
Fizic Fizic
- Windows 2000 Server are încorporat un router spre alte reţele

- reţeaua se segmentează în locul în care funcţionează cel mai lent
- serverul trebuie să aibă instalate două plăci de reţea
Router
SERVER
Placa A1
Placa A2
A1 A1
A1 HUB A1
A1 A1
Router
SERVER
Placa A1
Placa A2
C1 C1
C2 HUB HUB C2
Router
dedicat
C3 Server 1 Server 2 C3
C1 C1
C2 HUB HUB C2
C3 C3
Pagina 7 din 51
Windows 2000 Server
- conţine aproximativ 40 de milioane de linii de cod
- este de fapt un upgrade la NT 4
- critici la adresa NT 4: probleme la configuraţia de domeniu, la numărul de useri
(maxim 1000) ceea ce nu permitea legarea la Internet şi nu permitea rularea
aplicaţiilor WEB
- nu executa defragmentarea
- avantaje Windows 2000:

- permite echilibrarea traficului în reţea
- nu trebuie repornit la instalarea oricărui protocol
- serverul Windows 2000 este denumit controller şi este un server cu autoreplicare
- conţine diferite unelte: terminal services, defragmentare, etc.
- familia Windows 2000 este compusă din 4 softuri, 3 pentru server şi unul pentru staţii:
- Windows 2000 Server
- Windows 2000 Advanced Server
- Windows 2000 DataCenter Server
- Windows 2000 Professional
- Windows 2000 Professional

- este destinat staţiilor de lucru
- poate fi utilizat independent, în reţele peer-to-peer şi pentru staţii
- permite 2 procesoare simultane (SMP - symmetric multiprocessor)
- Windows 2000 Server

- este un server dedicat pentru fişiere, imprimante şi aplicaţii
- poate fi platformă pentru aplicaţii WEB
- are servicii de reţea
- nucleul îl reprezintă un set complet de servicii de infrastructură numit Active
Directory
- permite 4GB RAM
- permite patru procesoare simultane
- nu poate echilibra traficul
- Windows 2000 Advanced Server

- este un server de aplicaţii şi de baze de date
- are mai multe funcţii de reţea
- funcţionează până la 64GB RAM şi opt procesoare simultane
- Windows 2000 DataCenter Server

- 64GB RAM
- 32 de procesoare simultane
- este destinat reţelelor care lucrează cu cantităţi mari de date (până la 10 milioane de
obiecte)
- gestionează până la zece mii de useri simultan
Pagina 8 din 51
Proprietăţile Windows 2000
- la achiziţionarea unui sistem de operare în reţea trebuie să verificăm patru
componente: securitatea, serviciul de directoare, performanţa şi comunicaţiile şi
serviciile de reţea
- securitatea
- autentificarea (recunoaşterea userului) se face prin nume şi parolă
- drepturile de acces se acordă la nivel de catalog şi la nivel de fişiere
- protocolul de bază este KERBEROS şi se foloseşte pentru autentificare, moştenire
drepturi şi relaţii de încredere tranzitive
- servicii de autentificare cu cheie publică
- codificarea fişierelor (sistemul EFS – encrypting file system)
- serviciul de directoare Active Directory

- administrează resursele reţelei
- ne oferă unelte de administrare şi servicii de reţea
- Active Directory permite controllere echivalente cu autoreplicare
- termenul de autoreplicre se referă la existenţa a două servere în aceiaşi reţea care
conţin aceiaşi bază de date cu informaţii identice
- Directory Database este baza de date care conţine toate obiectele reţelei cu proprietăţi
şi descrieri
- Active Directory gestionează Directory Database
- Active Directory este bazat pe DNS (Domain Name Sistem) care este softul de
recunoaştere a adreselor
- controllerul este în acelaşi timp şi server DNS
- foloseşte protocolul LDAP (Lightweight Directory Access Protocol)
- performanţa
- poate fi extinsă la 10 milioane de obiecte
- permite cote de procesor pentru aplicaţii şi cote de disc pentru useri
- lucrează cu trei sisteme de fişiere: FAT 16, FAT 32 şi NTFS versiunea 5
- permite criptarea fişierelor
- permite plug-and-play
- există un fişier denumit HCL.txt care conţine lista tuturor componentelor acceptate de
sistemele Windows 2000
- comunicaţiile şi serviciile de reţea

- oferă suport pentru protocoalele cele mai populare
- oferă conectivitate cu alte reţele: cu Novell NetWare prin IPX/SPX, cu Unix prin
TCP/IP şi cu Macintosh prin AppleTalk
- permite conectare dial-up până la 256 de intrări simultane
- oferă servicii de indexare a resurselor (poate căuta orice obiect după orice proprietate a
lui)
- serverul DNS este în acelaşi timp şi server DHCP (Dynamic Host Configuration
Protocol)
Modele de reţele
Windows 2000 ne permite 2 modele de reţea

1) Workgroup – este un model peer-to-peer
- fiecare calculator gestionează o bază de date de securitate locală (Local Security
Database)
- fiecare calculator se administrează separat
- userul se introduce pe ficare calculator în parte
Pagina 9 din 51
- nu avem nevoie de server
- se recomandă legarea a maximum 10 calculatoare
- dacă într-o reţea peer-to-peer instalăm pe unul dintre calculatoare Windows 2000
server, atunci acel calculator devine un server stand-alone
2) Domain – este un model client-server

- avem nevoie de cel puţin un server de reţea cu Windows 2000 Server şi Active
Directory instalate, şi care se va numi controller de domeniu
- gestionează accesul la întregul domeniu şi la toate resursele lui
- putem avea oricâte controllere echivalente
- un domeniu conţine mai multe calculatoare
- fiecare domeniu are un nume unic
- staţiile fac parte din domeniu (putem avea câteva cu Windows 2000 Professional şi
câteva cu Windows 2000 Server – acestea se numesc servere membru)
- un server membru se poate folosi ca server de date, DHCP, etc.
- serverul care conţine Active Directory devine server de domeniu
Arhitectura sistemului de operare Windows 2000

POSIX Win32 OS/2
application application application Environment
subsystem
POSIX Win32 OS/2 Integral

subsystem subsystem subsystem subsystem
Integral
subsystem User mode
Kernel mode
Executive Services
I/O Security IPC Process Plug Power I/O

Manager Reference Manager VMM Manager and Play Manager Manager
Monitor Manager
File Graphics
systems device
drivers
Cache
Manager
Executive
Object Manager
Device drivers Microkernel
Hardware abstraction layer (HAL)
Hardware
-
- orice sistem de operare este modular
- Windows 2000 are un mod user şi un mod kernel
- modul user are 2 componente: environment subsystem şi integral subsystem
- API reprezintă Application Programming Interface
- cu ajutorul API aplicaţiile comunică cu sistemul de operare
Aplicaţie
Subsistem
Executiv
Pagina 10 din 51
- fiecare aplicaţie are un API scris pentru sistemul de operare pentru care a fost făcut
- POSIX (Portable Operating System Interface for Computer Environments) este un
API pe 32 biţi acceptat de UNIX
- Win32 este un API pentru Win 32, Win 16 şi DOS
- OS/2 este un API pe 16 biţi pentru OS/2
- aplicaţiile pornite din environment nu accesează direct hardul şi driverele
- nu au acces la clipboard
- nu pot depăşi memoria alocată
- la partea de integral subsystem avem funcţii de securitate de reţea şi servicii de reţea
- modul Kernel (nucleu)
- componentele au acces direct la date, la memorie şi la hard
- toate procesele se execută cu memorie protejată
- are patru componente: executivul, device drivers, microkernel şi HAL
- la executiv sunt managerii şi operatorii de intrare-ieşire
- există două funcţii distincte: servicii sistem şi rutine interne
- serviciile sistem pot fi apelate de user şi de alte componente din executiv
- rutinele interne pot fi apelate numai de executiv
- la device drivers se translatează apelurile de driver către hard şi invers
- microkernelul gestionează microprocesorul
- sincronizează activitatea executivului
- gestionează operaţiile de intrare-ieşire
- HAL este un strat care nu apare la celelalte arhitecturi
- apelează hardul
- tot aici este încorporat SMP-ul
- este un zid soft între hard şi drivere
- permite vizibilitatea numai către driverele standard, restul fiind ascunse sistemului
de operare
Microsoft Management Console (MMC)

- este un utilitar care permite funcţii de administrare personificate numite console
- aceste console pot fi salvate ca şi orice fişier
- se salvează cu extensia .msc, implicit la administrative tools
- sistemul de operare conţine un set predefinit de funcţii de administrare din care ne
alegem şi ne alcătuim console
- setul de funcţii se numeşte snap-in
- fiecare funcţie are extensii (subfuncţii pe care le execută funcţia)
- putem crea console pentru evenimentele dintr-un anume calculator
- există funcţii (de ex. event viewer) care aparţin atât extensiilor cât şi snap-in
- MMC se lansează din linia de comandă cu comanda mmc
Pagina 11 din 51
Cursul 3
19 Mai 2003
Suita de protocoale TCP/IP (Transmission Control Protocol/ Internet Protocol)

- este protocolul de bază al Windows 2000
- este folosit la serviciile de logare, imprimare, fişiere şi replicare controllere între
domenii
- net bindings desemnează linkuri între protocoale, servicii de reţea şi plăci de reţea
- orice protocol trebuie instalat şi asignat la placă
- trebuie desemnat protocolul primar
- este un standard industrial care permite comunicarea în reţea a două calculatoare
diferite cu sisteme de operare diferite
7 – Aplicaţie
6 – Prezentare Aplicaţie (TCP) FTP, Telnet, SMTP, DNS, HTTP
5 – Sesiune
4 – Transport Transport (TCP) TCP, UDP
3 – Reţea Internet (IP) IP, ARP, ICMP, IGMP, RIP
2 – Legătură de date
Reţea
1 – Fizic
- interfeţele de transport utilizate sunt WinSock (standard) şi NetBT

- la nivelul transport se urmăresc conexiunile de reţea
- tot aici se împart datele în pachete de date
- pachetele mari de date se transmit cu TCP
- pachetele mici de date se transmit cu UDP, dar UDP nu verifică transmisia, spre
deosebire de TCP
- la nivelul Internet se rulează algoritmul de ruter
- IP împarte pachetele TCP în cadre IP
- ARP mapează adresa IP în adresă fizică MAC
- adresa MAC este formată din 6 grupuri de hexa
- ICMP lucrează cu informaţii gen State sau Error (utilitarul PING)
- la nivelul Reţea se recepţionează şirul de biţi de pe canale şi se refac cadrele IP
Date Date criptate Pachete TCP
Pachete TCP Cadru IP (frame)
Pachete TCP
Cadru IP (frame)
Cadru IP (frame)
Canale
- în fiecare cadru IP apare atât adresa destinatar cât şi adresa emiţător
Sistemul de adresare în reţea

- depinde de protocolul de comunicaţie
- trebuie să identifice în mod unic segmentul de reţea şi nodul de reţea
- segmentul de reţea este o zonă delimitată fizic din mediul de transmisie prin care
circulă pachete de date de acelaşi tip
- nodul de reţea (host) este orice calculator sau alt dispozitiv conectat la reţea printr-o
placă de reţea şi un driver (de ex. staţii, rutere, imprimante, etc.)
Pagina 12 din 51
Adrese utilizate în TCP/IP
- fiecare nod are o adresă IP, care este o adresă logică ce nu de depinde nici de placă,
nici de topologie nici de mediu
- adresa este alcătuită din patru octeţi separaţi printr-un punct
- din aceşti 4 octeţi, o parte identifică în mod unic segmentul de reţea, restul fiind
identificatorul nodului
- în cadrul unei reţele, adresa segmentului de reţea este identică la toate nodurile
acelei reţele
Clasele de adrese IP
clasa A
- primul bit din primul octet este 0
- 1 octet este partea de reţea
- 3 octeţi este partea de nod
0-127,x,y,z
adresă adresă de nod
de reţea
- adresa de reţea se întinde de la 00000000 la 01111111
clasa B
- primii biţi din primul octet trebuie să fie 10
- 2 octeţi pentru reţea
- 2 octeţi pentru nod
128-191,x,y,z
adresă de reţea adresă de nod
- adresa de reţea se întinde de la 10000000 la 10111111
clasa C
- primii biţi din primul octet trebuie să fie 110
- 3 octeţi pentru reţea
- 1 octet pentru nod
192-223,x,y,z
adresă de reţea
adresă de nod
Rezervări
- nodul 0 nu se foloseşte
- nu se pun toţi biţii 1 sau toţi biţii 0
- nu se foloseşte nodul 255 (este nodul de difuzare)
- adresele de buclă 127.0.0.0 şi 127.0.0.1 nu se folosesc
Adresele IP
- în Windows 2000 putem avea: adrese statice IP, adrese dinamice IP şi adrese automate
private IP
1. adresele statice IP
- sunt configurate de administrator
- trebuie configurate elementele: adresa IP, masca, adresa gate şi adresa serverului DNS
preferat
Pagina 13 din 51
Adresa IP
- fiecare calculator trebuie să aibă aceiaşi adresă de reţea
Masca
- separă adresa de reţea de adresa de nod
- se scrie pe 4 octeţi
- şirul de 1 de la început reprezintă partea de reţea, de la primul 0 care apare avem
partea de host
adresă IP 154.214.1.100
mască 255.255.0.0
Adresa gate
- este adresa porţii de ieşire
- în cazul reţelei din sala de curs, serverul reprezintă poarta de ieşire
Adresa serverului DNS
- nu este necesar ca controllerul să fie server DNS
- putem avea mai multe servere DNS într-o reţea
Adresele hibride
- deoarece adresele de reţea furnizează cele mai puţine adrese host, putem folosi şi
jumătate din al treilea octet pentru a configura o adresă host
- să presupunem că avem o adresă IP 192.168.121.2 şi masca 255.255.248.0
- al treilea bit din adresa IP se transcrie în binar ca 01111001 ceea ce înseamnă că adresa
host începe la al şaselea bit
- dacă rescriem cel de-al treilea octet ca valoare minimă, obţinem 01111000 adică 120,
iar ca valoare maximă avem 01111111 adică 127
- în acest caz domeniul nostru IP se întinde de la 192.168.120.0 la 192.168.127.254,
adică se măreşte de şapte ori numărul de hosturi
C1
C2
C3
……………………………
C7
- deoarece 248 se transcrie în binar ca 11111000, înseamnă că primii cinci biţi sunt
adresă de reţea, restul de host
Exerciţiu
- avem adresa IP 192.178.154.12 şi masca 255.255.240.0
- ce adrese pot să dau calculatoarelor ca să am o reţea şi care este adresa de reţea?
Rezolvare
- transpunem în binar octetul al treilea al măştii
- 240 înseamnă 11110000, deci patru biţi sunt adresă de reţea
- al treilea octet din adresa IP este 154, deci 10011010
- primii patru biţi din 154 urmaţi de cifre de 0 reprezintă 10010000 adică 144
- primii patru biţi din 154 urmati de cifre de 1 reprezintă 100011111 adică 159
- domeniul nostru host cuprinde
192.178.144.1 până la 255
192.178.145.1 până la 255
192.178.146.1 până la 255
.........................
192.178.159.1 până la 255
Pagina 14 din 51
2. adresele IP dinamice
- sunt adrese care se obţin automat de la un server DHCP (Dynamic Host Configuration
Protocol)
- DHCP este încorporat şi în Windows 2000, dar trebuie instalat
- DHCP conţine o componentă DHCP Relay Agent care oferă adrese chiar şi staţiilor
din alte reţele
3. adrese IP automate
- se bazează pe mecanismul Automate Private IP Address
- intră în funcţiune automat dacă în reţea nu avem instalat un server DHCP
- se generează adrese de clasă B începând de la 169.254.x.y
- nu generează adrese de gateway
- se foloseşte la pornirea staţiilor
- pentru a afla protocoalele instalate pe un calculator, parcurgem calea My Network

Places –> Properties -> Network and Dial-up Connections -> Local Area Connection
-> Properties
Utilitarele TCP/IP
- se împart în comenzi de diagnosticare şi comenzi de conectivitate

- comenzi de diagnosticare: PING, IPCONFIG, ARP, NBTSTAT, NETSTAT, ROUTE,
HOSTNAME, TRACERT
- comenzi de conectivitate: FTP, TFTP, TELNET, RCP, RSH, REXEC, FINGER
- cu comanda PING testăm conectivitatea cu alt calculator sau cu propria placă de reţea
- comanda IPCONFIG verificăm configuraţia şi aflăm adresa noastră MAC
- comanda ARP (Address Resolution Protocol) ne oferă informaţii despre adrese
rezolvate
- NBTSTAT ne oferă statistici de protocol şi despre conexiunea TCP/IP prin NetBios
- ROUTE administrează tabela locală de rutare
- comanda HOSTNAME afişează numele local al calculatorului
- TRACERT (Trace Route) afişează traseul unui pachet IP până la destinaţie
- FTP (File Transfer Protocol) transferă fişierele la şi de la un host care rulează un
serviciu de fişiere
- TFTP (Trivial File Transfer Protocol) este similar cu FTP dar nu oferă servicii de
autentificare user
- cu comanda Telnet emulăm un terminal
- RCP – remote copy – copiază fişiere între un host RCP şi un un cliet oarecare
- RSH – remote shell – rulează comenzi pe Unix
- Rexec este o comandă ce rulează comenzi şi aplicaţii pe hosturi îndepărtate
- Finger oferă informaţii despre un user dintr-un host, având sintaxa: finger[user]@
hostname
Comanda PING
- sintaxa: ping adresă IP sau nume calculator
- ex: dacă nu primim răspuns la ping INFO38 atunci încercăm ping 192.168.1.38
Comanda IPCONFIG
- cu sintaxa: ipconfig /all aflăm informatii despre propria placă de bază, incluzând
adresa MAC
- cu sintaxa: ipconfig /registerdns reiniţializăm legătura cu serverul DNS în cazul în
care am pierdut legătura
Pagina 15 din 51
Testarea conectivităţii
- lansăm comanda ipconfig /all
- ping 127.0.0.1 pentru testarea conectivităţii cu propria placă de bază
- ping către propria adresă IP şi către o adresă IP vecină
- ping către gate
- ping către o adresă remote
Comanda NET
- cu comenzile net config workstation şi net config server obţinem informaţii despre
serviciile de conectivitate, inclusiv despre adresa MAC
Alte protocoale
NWLINK IPX/SPX NetBios
- este protocolul Novell-ului
- îl folosim când dorim să ne conectăm la o reţea Novell
- în novel adresa este compusă dintr-un frame type, un network number şi un internal
network number
- network number este unic pe segment pentru tipul de frame
- instalarea se face parcurgând calea: My Network Places -> Properties -> Network and
Dial-up Connections -> Local Area Connection -> Properties-> Instal -> Protocol ->
Add...
NetBEUI
- este un protocol mai vechi
- nu este rutabil
- permite până la 255 de noduri
DLC (Data Link Control) – controlul legăturii de date

- este un protocol special
- nu este rutabil
- îl folosim când dorim să ne conectăm cu mainframe-uri IBM sau cu imprimante
speciale cu placă de reţea
AppleTalk
- se foloseşte la conectarea cu reţele Macintosh
Network Monitor Driver

- cu ajutorul acestui protocol obţinem informaţii despre activitatea reţelei
- pentru rapoarte avem nevoie de Network Monitor Agent
Refacerea şi ruperea legăturilor

- se parcurge calea My Network Places -> Properties -> Network and Dial-up
Connections -> Advanced -> Advanced Settings… -> Adapters and Binding
- aici putem reface sau rupe legăturile cu celelalte calculatoare şi putem determina
ordinea protocoalelor
- pentru Windows 2000 TCP/IP trebuie să fie protocol primar
- protocoalele speciale nu apar în acestă secţiune
Pagina 16 din 51
Cursul 4
21 Mai 2003
Scheduled Tasks (Sarcini planificate)

- cu acest utilitar putem programa pornirea planificată a aplicaţiilor
- lansarea lor se poate stabili o anumită oră, la o anumită perioadă, la declanşarea unui
eveniment, etc.
- administratorii de reţea pot folosi utilitarul Scheduled Tasks pentru lansarea
aplicaţiilor de backup
- aplicaţia lansată de acest utilitar poate fi un fişier .exe, .bat, .com
Serverul DHCP (Dynamic Host Configuration Protocol)

- se instalează de la Add/Remove Programs
- cu ajutorul DHCP putem închiria adrese IP staţiilor
- cu ajutorul utilitarului Relay Agent DHCP poate deservi mai multe reţele
- într-o reţea putem avea mai multe servere DHCP, dar nici unul dintre ele nu poate avea
acces la informaţiile celuilalt
- pentru fiecare server DHCP trebuie configurată o anvergură (scope)
- putem defini o singură anvergură pentru o subreţea
- când DHCP deserveşte mai multe subreţele, definim mai multe anverguri
- serverul DHCP trebuie mai întâi configurat, iar pe urmă trebuie activat
- DHCP lucrează doar când staţiile emit cereri de adresă
- o staţie poate lua o adresă de la oricare server DHCP, în mod aleatoriu
- alocarea de adrese dinamice înseamnă că staţiile pot avea adrese aleatorii în timp
- putem face o rezervare de adresă pentru o staţie anume, introducând adresa MAC a
staţiei
- avem două feluri de opţiuni de configurare:
- opţiuni globale – se referă la serverul DHCP şi la toate anvergurile lui
- opţiuni de anvergură – acestea fiind repetabile
- opţiunea de anvergură suprascrie opţiunea globală
- serverul WINS este o alternativă mai veche la DNS
- dacă s-a ajuns la închirierea a peste 80% dintre adresele disponibile, atunci reţeaua
trebuie segmentată
Active Directory
- este serviciul de evidenţă şi regăsire a resurselor reţelei

- fiecare serviciu de directoare are o bază de date – Directory Database – care este o
colecţie de informaţii despre obiectele reţelei
- concepte de bază: schema, anvergura, spaţiul de denumri, partiţia, catalogul global
SCHEMA
- este definirea formală a tipurilor de obiecte care pot fi definite în Active Directory
(useri, grupuri, foldere, imprimante)
- prima schemă se crează automat, la instalarea Active Directory
- pentru modificarea schemei avem la dispoziţie următoarele unelte: Schema Manager,
ADSI (Active Directory Service Interface) care reprezintă o interfaţă pentru API-urile
programelor care modifică schema, precum şi utilitare care se lansează din linia de
comandă şi instrumente de programare (C, C++, Visual Basic şi parţial Java)
- schema este integrată în Active Directory, ceea ce înseamnă că nu este necesară
restartarea computerului în cazul modificării schemei
- datorită ADSI putem integra şi aplicaţiile de schemă
Pagina 17 din 51
- ADSI poate fi folosit şi în Windows NT şi Novell, şi în general la orice reţea unde
serviciul de directoare se bazează pe protocolul LDAP (Lightweight Directory Access
Protocol)
ANVERGURA (scope)
- reprezintă extinderea pe care o poate lua Active Directory
- poate cuprinde milioane de obiecte
SPAŢIUL DE DENUMIRI (namespace)

- reprezintă zona delimitată în care poate fi atribuită o denumire pentru un obiect
- este spaţiul în care o denumire poate fi rezolvată, adică poate fi identificată resursa
- rezoluţia de nume reprezintă procesul de translatare a denumirii spre obiect
- în Active Directory spaţiul de denumiri permite alocarea denumirii obiectului propriu-
zis şi se bazează pe DNS
- de fapt, denumirile din Active Directory sunt denumiri DNS
- spaţiul de denumiri poate fi contiguu sau noncontiguu
- în spaţiul de denumiri contiguu, copilul conţine numele părintelui
PARTIŢIA
- Active Directory este împărţită în mai multe contexte de nume (partiţii)
- o partiţie reprezintă un domeniu
CATALOGUL GLOBAL
- este un serviciu şi un centru de stocare
- conţine informaţii despre obiecte şi locul lor, dar numai acele informaţii care sunt des
folosite în căutări
- intră în procesul de replicare normală
- la crearea unui domeniu se crează în mod automat şi un catalog global
- nu este necesară existenţa unui catalog global pe fiecare controller (catalogul global se
poate dezactiva)
Active Directory - structura logică

- Active Directory are o structură arborescentă
- elementele structurii logice sunt: obiectele, unitatea organizaţională, domeniul,
arborele de domenii şi pădurea de domenii
OBIECTELE (object)
- obiectele Active Directory pot fi utilizatori, imprimante, etc.
- fiecare obiect are un set de atribute care îl definesc
- însăşi descrierea obiectului este tot un obiect
- fiecare user în parte reprezintă un set de atribute din această descriere
- când se crează un obiect, acesta este creat cu nişte parametri formali, adică nişte
atribute implicite
UNITĂŢILE ORGANIZAŢIONALE (organizational-unit) (O.U.)

- sunt obiecte de tip container pe care le folosim pentru a organiza ierarhic celelalte
obiecte
- în mod normal organizarea se face în grupuri logice administrative
- delegarea drepturilor se face la nivel de O.U.
- O.U. poate conţine obiecte sau alte O.U.
Pagina 18 din 51
DOMENIUL (domain)
- este nucleul structurii logice din Active Directory
- reprezintă o zonă care are aceiaşi politică de securitate
- fiecare obiect aparţine unui domeniu
- pentru Active Directory ce nu este în domeniu, nu există
- domeniile pot cuprinde sau nu alte domenii
- domeniul poate fi denumit şi partiţie
ARBORELE DE DOMENII (domain trees)

- este o ierarhie de domenii
- într-un arbore de domenii avem un spaţiu de nume contiguu, o schemă şi un catalog
global
- între domenii există relaţii de încredere KERBEROS
info
edu.info prog.info
PĂDUREA DE DOMENII (forests)

- este o colecţie de arbori
- are un spaţiu de nume noncontiguu (domeniile nu conţin nici o referire la celelalte
domenii, dar sunt în acelaşi Active Directory, cu aceiaşi schemă, acelaşi catalog global
şi relaţii de încredere KERBEROS)
- userul dintr-un arbore poate accesa resurse dintr-un alt arbore, dar trebuie să cunoască
numele calificat al resursei (calea)
Active Directory - structura fizică

- este formată din controllere şi site-uri
- controllerul este calculatorul pe care s-a instalat Active Directory
- site-ul este subreţeaua
- structura fizică este determinată geografic şi este formată dintr-o colecţie de adrese IP
Proprietăţile Active Directory

1) Organizarea resurselor
- resursele sunt organizate în domenii
- domeniile formează o structură arborescentă
- domeniile sunt indexate
2) Scalabilitatea
- anvergura permite milioane de obiecte
- acestea sunt stocate distribuit pe mai multe calculatoare
- serverul de căutare localizează rapid obiectele
- datorită replicării obiectele nu se pierd în cazul în care cade unul dintre controllere
3) Compatibilitatea cu standardele uzuale

- conceptul de namespace este cel din Internet şi permite gestionarea spaţiilor de nume
din diferite medii hard şi soft
- pentru denumiri folosim sistemul DNS
- Active Directory poate schimba informaţii cu orice aplicaţie care foloseşte protocolul
LDAP
- în Windows 2000 este integrat Dynamic DNS
- serverul de reţea este server DNS
Pagina 19 din 51
- pentru aplicaţii vechi este încorporat serviciul WINS
- LDAP a fost dezvoltat ca alternativă la protocolul X400, care este încorporat parţial în
LDAP
4) Suport pentru convenţiile standard de denumire

- nume distinctive şi nume relativ distinctive (DN – distinguished name, RDN – relative
distinguished name)
- cuvinte cheie: CN (common name), DC (domain component), OU (organizational
unit)
info
edu.info
OU Lectori
user Eliza
- exemplu de nume distinctiv: DC=info/DC = edu/OU=Lectori, CN = user, CN = Eliza

- exemplu de nume relativ distinctiv: CN = Eliza
- convenţia UPN (User-Principal-Name): nume_user@nume_domeniu
- HTTP: http://domeniu/cale
- UNC – Universal Name Convention
- se foloseşte la mapare şi are forma \\nume_server\cale
5) Securitatea
REPLICAREA
- replicarea multimaster are loc la intervale regulate de timp la nivel de Active Directory
- replicarea imediată are loc la nivelul catalogului global
PROTEJAREA OBIECTELOR
- obiectele sunt protejate cu ajutorul listelor ACL (Access-Control List)
- pentru fiecare obiect apar userii care au acces la obiectul respectiv
- ACL este format din nişte valori binare ataşate obiectului
DELEGAREA DREPTURILOR
- putem delega drepturi de administrare la useri la nivel de OU
Pagina 20 din 51
MOŞTENIREA DREPTURILOR
- automat drepturile sunt moştenite de sus în jos dacă nu intervine administratorul
Cursul 5
26 Mai 2003
Test
1. Instalaţi protocolul NWSLink IPX/SPX NetBios

2. Treceţi protocolul TCP/IP ca protocol primar cu ajutorul utilitarului Bindings
3. Verificaţi conectivitatea cu comanda ipconfig /all şi cu comanda ping
4. Ştergeţi anvergura existentă şi definiţi o nouă anvergură DHCP, având următoarea
plajă de adrese de la 192.168.1.1 până la 200, apoi excludeţi intervalul 50-100 precum
şi adresa 111 şi rezervaţi adresa 150
5. Creaţi un fişier de comenzi .bat cu denumirea mesajxx care să lanseze comanda net
send la toate staţiile, cu mesajul „A sosit pauza!”
6. Programaţi lansarea zilnică la ora 18 a fişierului .bat, cu ajutorul utilitarului Scheduled
Tasks
- la conectarea la o reţea Novell, trebuie instalat nu numai protocolul NWSLink, ci şi softul Client for
NetWare
Discuri şi sisteme de fişiere

- fişierul HCL.txt cuprinde lista tuturor componentelor hard compatibile cu Windwos
2000
- se poate descărca de la adresa www.microsoft.com/hcl/default.asp
- termenul toleranţă la defecte se referă la modul de proiectare a unei componente
pentru o funcţionare neîntreruptă
Controllere
- există două tipuri de controllere: IDE/EIDE şi SCSI
- IDE (Integrated Device Electronics) a apărut în 1989
- IDE a fost primul controller integrat pe hard disc şi putea controla 2 discuri de 500 Mb
- EIDE (Enhanced Integrated Device Electronics) putea controla 4 discuri
- controllerele IDE/EIDE sunt utile mai ales la calculatoarele cu o singură unitate de
disc
- pot lucra şi cu 4 discuri, dar nu concomitent, prin urmare sunt utile mai ales la staţii
sau la mirroring
- SCSI (Small Computer System Interface) a fost aplicat de Apple pentru comunicarea
cu perifericele
- este o magistrală de comunicaţii
- ştie să lucreze cu mai multe unităţi de disc, cu imprimante, cu unităţi CD etc., până la
14 dispozitive hard
- lucrează concomitent cu aceste dispozitive, prin urmare viteza de prelucrare a datelor
creşte odată cu creşterea numărului de dispozitive
- ulterior au mai apărut controllerele SCSI 2, FAST SCSI, WIDE SCSI
- de la versiunea SCSI 2 în sus, pot prelua până la 256 de comenzi simultan, după care
lucrează independent
Controllere inteligente
- controlează propria acţiune
- controlează relaţiile dintre discuri
- efectuează autonom chiar mai multe operaţii şi eliberează procesorul
- pot să prevadă o viitoare defectare
- au toleranţă la defecte
Pagina 21 din 51
Comasarea unităţilor de disc
- controllerul prezintă sistemului de operare mai multe discuri ca pe o singură unitate
Toleranţa la defecte
- strategiile realizate cu matrice de discuri ieftine (sistemele RAID – Redundant Array
of Inexpensive Disks) reprezintă o modalitate de configurare a discurilor şi stocare a
datelor
- sistemele uzuale sunt RAID 0, RAID 1, RAID 3 şi RAID 5
RAID 0
- lucrează prin comasarea unităţilor de disc
- este lucrul pe benzi (disk striping)
- sistemul de operare vede un singur disc
- nu are toleranţă la erori
RAID 1
- este lucrul cu oglindire (mirroring) sau duplicare
- fiecare unitate de disc este dublată cu alta
- datele se scriu în două locuri simultan
- la defectarea unui disc, oglinda acestuia îi ia automat locul
- în Windows Explorer nu vedem oglinda
- are toleranţă mărită dar pierdem 50% din spaţiul disponibil
RAID 3
- este lucrul cu paritate
- avem nevoie de minim 3, maxim 14 discuri
- un disc este reţinut pentru informaţiile de paritate
- unitatea de paritate, pe baza unui algoritm, urmăreşte corectitudinea scrierii pe
celelalte discuri şi notează informaţiile necesare refacerii discurilor
- în cazul defectării unui disc, unitatea de paritate reface fişierele pierdute, utilizatorul
sesizând eventual doar diferenţa de viteză la afişarea datelor
RAID 5
- reprezintă lucrul în fâşii
- informaţiile de paritate sunt stocate pe discurile reale în fâşii
- avem nevoie de minim 3 discuri
- la 3 discuri, fiecare disc este împărţit în 3, o treime reprezentând informaţiile de
paritate şi două treimi informaţiile reale
- Windows 2000 Professional nu permite lucrul cu RAID 1 şi RAID 5
Achiziţionarea discurilor
- la achiziţionarea discurilor trebuie să ţinem cont de:
- producător
- tipul interfeţei: IDE sau SCSI
- timpul de acces să nu fie mai mare de 7-8 milisecunde
- garanţia preferabilă minim 3 ani
- capacitatea
- conectabilitatea la cald: poate fi înlocuit în timpul funcţionării
- atenţionarea anticipată
- executarea operaţiilor de autoîntreţinere
Pagina 22 din 51
Windows 2000
- permite orice fel de disc, maximum 32 de unităţi de hard disc
- discurile pot avea două tipuri de structură: de bază sau simple (basic) sau discuri cu
structură dinamică (volumul se întinde pe mai multe discuri)
- formatarea se face la FAT, FAT32 sau NTFS versiunea 5
- discul se poate converti de la FAT sau FAT32 la NTFS cu comanda convert din
command prompt
- sistemul de fişiere FAT se foloseşte la sistemele de operare Windows 95 şi DOS
- sistemul de fişiere FAT32 se foloseşte la Windows 95 OSR 2 şi Windows 98
- sistemul de fişiere NTFS v.5 este folosit de Windows 2000 şi ulterioare
- la sistemele FAT şi FAT32 tabelele de alocare au cel puţin două copii pe hard
- la NTFS avem MFT (master file table) şi metadata
Hard discul
- trebuie iniţializat la o structură
- trebuiesc create partiţii sau volume
- trebuie formatat la sistemul de fişiere dorit
Structura BASIC
- este standard industrial
- discul este împărţit în partiţii
- o partiţie este o porţiune dintr-un disc privită ca o unitate independentă
- avem partiţii primare şi partiţii extinse
- pe un hard putem avea 4 partiţii din care 1 poate fi extinsă şi trei primare
- între partiţiile primare avem 1 activă pe care există fişierele de bootare
- partiţiile primare folosesc la izolarea sistemului de operare pentru bootarea duală
- partiţia extinsă nu se formatează şi nu primeşte extensie de drive ci se împarte în
segemnte (drive-uri logice) care primesc o literă de drive
- partiţia boot poate fi o partiţie primară sau un drive logic
Structura dinamică
- se crează din discuri de bază
- avem o singură partiţie şi aceasta se împarte în volume
- un volum este o parte dintr-un disc sau de pe mai multe discuri care lucrează ca un
hard independent
- discul dinamic se obţine dintr-un disc de bază cu comanda upgrade fără pierdere de
date
- cu comanda revert se trece la disc de bază dar cu pierdere de date
Volumele create pe discuri dinamice

- pe discuri dinamice se pot crea:
- volume simple
- oglindite (mirroring - RAID 1)
- distribuite (spanned)
- pe benzi (striped – RAID 0)
- RAID 5
- Windows 2000 Professional nu permite lucrul cu volumele RAID 1 şi RAID 5
Volumele simple
- sunt localizate pe un singur disc
- nu sunt tolerante la erori
- se obţin din partiţii
- cu comanda upgrade sau create volum se obţine volum simplu din fiecare partiţie
Pagina 23 din 51
- un volum simplu se poate extinde pe acelaşi disc sau pe mai multe discuri, iar în acest
caz obţinem un volum distribuit
Volume oglindite
- pentru un volum oglindit avem nevoie de două discuri
Volume distribuite
- se întind pe maximum 32 de discuri
- ele se completează pe rând
- sistemul de operare vede volumul ca un singur disc
- nu sunt tolerante la erori
volum 1 volum 4
DISC 1
volum 2 volum 4
DISC 2
Aşa vede sistemul de
operare volumul V4
volum 3 volum 4
DISC 3
- pe discul 1 volumul 1 se poate extinde şi pe porţiunea liberă

- extinderea volumului 4 pe celelalte discuri înseamnă crearea unui volum distribuit
- în cazul defectării discului 2, pierdem volumul 2 şi volumul 4 în totalitate
- volumele distribuite nu pot fi oglindite
Volumul pe benzi
- este un volum care se extinde pe maximum 32 de discuri
- sistemul de operare scrie datele în fâşii de 64 de Kb simultan pe toate discurile
- fiecare fişier este împărţit în fâşii de 64 Kb şi scris pe mai multe discuri
Volumul RAID 5
- este un volum cu fâşii de paritate
Criterii generale
- pe laptop putem avea numai discuri de bază şi numai partiţii primare
- într-un sistem de bază putem avea două structuri (un hard basic şi unul dinamic)
- se recomandă ca sistemul de operare de reţea să fie basic sau dinamic cu toleranţă la
erori
- Windows 2000 nu tolerează compresia de disc
Avantaje NTFS
- putem stabili acces la nivel de fişier
- avem posibilităţi de criptare
- putem crea cote de disc
- putem comprima date
Utilitarul Disc Management

- este componentă a Computer Management
- se poate apela din: propria consolă, Administrative Tools şi din Manage din meniul
secundar de la My Computer
Pagina 24 din 51
Cursul 6
28 Mai 2003
Utilizatori sau useri
- există trei feluri de useri: user local, user de domeniu şi user implicit
Userii locali:
- se crează pe un singur calculator
- se reţin în Local Security Database
- oferă dreptul de acces pe un singur calculator
Userii de domeniu
- oferă dreptul de acces în reţea
- se reţin în baza de date din Active Directory
- la logare sunt verificaţi de sistemul de operare şi se crează un access token (jeton
pentru acces în sistemul de securitate) pe durata sesiunii de lucru
Userii impliciţi
- sunt de două feluri: administrator şi guest
- pot fi redenumiţi dar nu pot fi şterşi
- administratorul are drepturi depline
- contul guest are drepturi puţine
- implicit este dezactivat
- pentru fiecare user trebuie să stabilim un nume de logare şi o parolă (fără semn de punctuaţie)
- numele de logare este case-sensitive
- trebuie să stabilim o politică de acordare useri
- parola este case-sensitiv şi poate avea o lungime maximă de 128 de caractere (se recomandă 8)
- parolele sunt invizibile chiar şi pentru administrator
Crearea unui user local

- ne conectăm local
- în Computer Management -> Local Users and Groups facem click dreapta pe Users
- completăm fereastra New User după care închidem fereastra şi selectăm proprietăţile
userului din lista de useri
- profilul unui user este format din colecţia de date, foldere şi setări personale ale unui
user (de exemplu My Documents)
- primul profil se crează odată cu prima logare a userului
- profilul userului se reţine în catalogul Documents and Settings
- dacă dorim reţinerea profilului în alt catalog atunci din fereastra de proprietăţi a
userului, la pagina Profile specificăm calea în câmpul Profile path
- în câmpul Logon script putem specifica o aplicaţie care să se lanseze la logarea
userului
- grupul Home folder este o alternativă la My Documents
- dacă completăm acest grup, folderul specificat devine folderul implicit al userului
- în System Properties -> User Profiles putem vedea profilurile existente
- în acest loc putem şterge un profil
- la ştergerea unui user profilul nu se şterge
- cu butonul Copy To... putem copia profilul unui user la alt user
- pentru a schimba parola unui user, selectăm userul din lista de useri din Computer
Management, executăm click dreapta şi selectăm Set Password
Pagina 25 din 51
Soluţia standard pentru profile
- creem userii fără completarea profilurilor şi un catalog în care vor fi stocate profilul
- ne logăm ca unul dintre useri şi îi configurăm profilul
- apoi ne logăm ca administrator
- la proprietăţile userului cu profil creat introducem calea către catalog
- la System Properties, User Profiles selectăm userul respectiv şi executăm click pe
Copy To... şi introducem calea către catalog
- la Permited to use selectăm ceilalţi useri
- la proprietăţile fiecarui user introducem calea către catalog
Profilul roaming
- este un profil comun pentru mai mulţi utilizatori
- se prescurtează RUP (Roaming User Profile)
Profilul mandatar
- este un profil roaming read-only
- userul poate să schimbe profilul dar acesta nu se salvează la închiderea sesiunii
- se prescurtează MUP (Mandatory User Profile)
- se crează un profil roaming, se intră ca şi administrator şi se modifică fişierul
NTUSER.DAT în NTUSER.MAN
Pagina 26 din 51
Cursul 7
2 Iunie 2003
Userii de domeniu
- se crează la Administrative Tools -> Active Directory Users and Computers
- userul face parte în mod obligatoriu dintr-un domeniu
- dacă avem trei domenii
Informatica
Informatica 1.Informatica Informatica 2.Informatica
- şi aceste domenii formează o unitate organizaţională, numele userului este unic pe

domeniu, nu pe unitatatea organizaţională
- în cadrul sistemului de securitate Kerberos, încrederea este implicită
- numele obiectelor sunt unice pe domeniu
- pentru a crea o unitate organizaţională executăm click dreapta pe denumirea serverului
din Active Directory Users and Computers -> New -> Organizational Unit
Grupuri de useri
- se crează pentru probleme administrative
- acordarea drepturilor este mult mai simplă la nivel de grup decât la nivel de user
- există trei feluri de grupuri: locale, de domeniu şi implicite
- grupurile locale se crează din useri locali
- grupurile de domeniu se crează din userii de domeniu şi se reţin în baza de date din
Active Directory
- grupurile implicite se împart în două categorii: implicite locale şi implicite sistem
- grupurile implicite locale sunt cele pe care le găsim în secţiunea Builin din Active
Directory Users and Computers
- se folosesc pentru delegarea sarcinilor
- grupurile implicite sistem nu sunt afişate
- ele se văd doar în momentul acordării drepturilor
- everyone conţine toţi utilizatorii
- authenticated users conţine userii autentificaţi cu drept de folosire a poştei electronice
- creator owner reprezintă grupul proprietarilor, acei useri care pot crea un director, o
imprimantă sau o partajare
- network reprezintă utilizatorii care au acces la sistem printr-o conectare la reţea
- interactive sunt utilizatorii conectaţi de pe acelaşi calculator
- anonymous logon sunt utilizatorii neidentificaţi
- dial-up conţine utilizatorii cu drept de conectare prin dial-up
- system reprezintă utilizatorii care pot instala sistemul de operare
- grupurile de domeniu pot fi: de distribuţie şi de securitate (pentru acordare de drepturi)

- grupurile de distribuţie sunt folosite de către aplicaţii şi pot fi folosite pentru
trimiterea de mesaje prin e-mail către toţi membrii unui grup
- sunt de trei feluri: globale, locale şi universale
- diferenţierea între grupul local şi cel global este dată de drepturile acordate membrilor
grupului
Pagina 27 din 51
- membrii grupurilor de distribuţie globale fac parte din acelaşi domeniu dar pot primi
drepturi din alte domenii
domeniul A domeniul B
domeniul C
grup
global
- mebrii grupurilor de distribuţie locale fac parte din domenii diferite dar pot primi
drepturi numai din domeniul în care s-a definit grupul
domeniul A domeniul B
user din A
user din B
grup local domeniul C

definit
user din C
- membrii grupurilor de distribuţie universale pot face parte din orice domeniu iar
drepturile lor pot fi acordate din orice domeniu
- Windows 2000 permite crearea grupurilor consolidate, adică includerea unui grup în
alt grup
- grupul global poate fi membru al unui grup local, dar reciproca nu este valabilă
- un user poate face parte din oricâte grupuri
Profiluri de useri
- profilurile de useri sunt de 3 feluri: local, roaming (volant) şi mandatar
- profilul local este implicit
- profilul roaming este un profil unic indiferent de calculatorul de la care se conectează
userii
- este creat de către administrator
- se foloseşte atunci când dorim să creăm un profil unic pentru un grup de utilizatori
- profilul mandatar este un profil roaming modificat de către utilizator la logare, dar
care nu se salvează la închiderea sesiunii
- la profilurile roaming şi mandatar se foloseşte home directory în loc de my documents
- pentru a conferi acelaşi profil pentru un user, indiferent de calculatorul de la care se

loghează, parcurgem următorii paşi:
- creem un catalog (ex: Eprofil) şi îl partajăm
- creem un user, iar la Properties -> Profile –> Profile path scriem calea
nume_staţie\Eprofil\%username%
- la System Properties -> User Profiles -> selectăm userul, apoi de la Copy To... ->
Copy profile to... introducem calea UNC către catalogul Eprofil
- să presupunem că userul Eliza s-a logat de la trei calculatoare C1, C2 şi C3, iar pe
fiecare şi-a creat câte un profil L1, L2 şi L3
- pentru a crea un profil unic de reţea pentru useriţa Eliza, parcurgem următorii paşi:
Pagina 28 din 51
- creem un catalog partajat
- la proprietăţile userului introducem calea catalogului partajat cu %username%
- ne conectăm pe C1, moment în care calculatorul face sincronizarea profilului L1 cu
cel de pe server, adică cu cel implicit
- la ieşirea de pe C1, pe server se salvează profilul L1
- ne conectăm pe C2 iar calculatorul va sincroniza profilul L1 de pe server cu L2 de pe
C2
- la ieşirea de pe C2 pe server se va salva un profil sincronizat L1 + L2
- ne conectăm pe C3, profilul de pe server se sincronizează cu profilul L3, iar la ieşire
vom avea un profil sincronizat L1 + L2 + L3
Pagina 29 din 51
Cursul 8
4 Iunie 2003
- profilul mandatar este un profil roaming read-only

- pentru a-l crea trebuie să ne logăm ca şi administrator
- în Windows Explorer, în profilul userului, schimbăm extensia fişierului ntuser.dat în
ntuser.man
- doar catalogul My Documents face parte din profilul userilor, restul cataloagelor din
Windows Explorer nu fac parte
Cote de disc
- putem limita spaţiul de disc pentru useri pe calculatoarele locale cu ajutorul tabului
Quota de la proprietăţile discului dorit
- limitarea se face local, astfel că un user poate avea cote de disc diferite pe calculatoare
diferite
- obiectele din Active Directory se pot găsi cu ajutorul ferestrei de căutare, urmând
calea Active Directory Users and Computers -> Action -> Find...
- în cazul în care se dezactivează Active Directory, putem încerca reactivarea prin

introducerea în linia de comandă a comenzii ipconfig /registerdns
Pagina 30 din 51
Cursul 9
9 Iunie 2003
Permisiunile NTFS (New Technology Files System)
- a fost implementat pentru prima dată în Windows NT
- NTFS permite acordarea de permisiuni şi interdicţii
- o permisiune reprezintă accesul unui utilizator sau grup la foldere şi fişiere, precum şi
acţiunile pe care le pot executa asupra acestor foldere şi fişiere
- permisiunile şi interdicţiile pot fi modificate de către administrator
- prin termenul de proprietar desemnăm un utilizator care a creat un folder sau un fişier
- asemenea administratorului, proprietarul poate acorda permisiuni şi interdicţii, dar
numai asupra obiectelor create
- userii cu drepturi pot şi ei să acorde permisiuni şi interdicţii
Foldere
- la nivel de folder avem următoarele permisiuni:
- Read – R – permite citirea fişierelor şi subfolderelor incluse
- Write – W – include posibilitatea creerii de fişiere şi subfoldere, respectiv schimbarea
de atribute (R, H, S)
- List – L – inventarierea folderului –permite intrarea cu un browser în folder
- Read and Execute – R & E – include permisiunile Read şi List precum şi lansarea în
execuţie a programelor
- Modify – M – cuprinde toate permisiunile precum şi ştergerea fişierelor şi
subfolderelor
- Full Control – FC – cuprinde permisiuni complete, inclusiv schimbarea permisiilor
Fişiere
- Read este identic cu cel de la foldere
- Write permite suprascrierea şi modificările de atribute
- Read and Execute identic
- Modify identic
- Full Control identic
- NTFS reţine în ACL (Access Control List) toate folderele şi fişierele din volum
- acestea conţin şi conturile de utilizatori şi grupuri care au obţinut permisiunile de
acces
- când un utilizator încearcă să acceseze un folder sau un fişier, în ACL trebuie să existe
un ACE (Acces Control Entry) pentru utilizatorul sau grupul respectiv
- în lipsa acestui Entry utilizatorul nu poate accesa obiectul
1. Permisiile cumulate
- permisiile efective ale unui utilizator la o resursă sunt egale cu suma permisiilor
asigurate la utilizator cu suma permisiilor asigurate utilizatorului sau grupurilor din
care face parte
Pe =  Pk unde
k ( grupuri , utilizator i )
Pe - permisiile efective
- dacă un utilizator aparţine de două grupuri G1 şi G2 şi la G1 are permisiunea R, la G2
are R&E, iar la nivel de utilizator are permisiunea W, înseamnă că va avea R&E + W
2. Permisiile la nivel de fişier

- permisiile la nivel de fişier sunt prioritare faţă de permisiile la nivel de folder
- putem avea o situaţie în care un utilizator să aibă permisii de R şi W la nivel de fişier
şi nici o permisie la nivelul folderului care include fişierul
- şi în acest caz utilizatorul poate avea acces la fişierul respectiv
Pagina 31 din 51
3. Interzicerea
- blochează toate accesele
- o interzicere este prioritară faţă de o permisie
- dacă la nivelul unui grup permitem R şi W, iar unui utilizator din grupul respectiv
interzicem W, utilizatorul respectiv va avea permisiunea R
- dacă interzicem FC, nu va avea nici un drept
4. Moştenirea permisiilor
- implicit permisiile se propagă de la un folder la fişiere, respectiv la subfoldere, dar
acest lucru se poate bloca
- dacă se revocă moştenirea, atunci subfolderele incluse devin foldere patern şi li se pot
da drepturi
- în momentul formatării discului,grupul Everyone primeşte implicit permisiunea FC
Grupuri
- Everyone – conţine toţi utilizatorii intraţi în reţea la un moment dat
- Authenticated useri – conţine toţi utilizatorii care au intrat în reţea pe baza unui cont
de utilizator
- se recomandă schimbarea grupului Everyone in Authenticated user
- Anonymous user – user neautentificat
- pentru aceştia se recomandă crearea unui folder Public cu R şi L pentru Everyone
- Creator Owner – grupul proprietarilor – sunt userii cu drept de creere de fişiere şi
foldere şi care au cel puţin drept de W
Planificarea permisiilor NTFS

- dacă notăm cu N numărul grupurilor dintr-o reţea, cu n numărul utilizatorilor, cu M
numărul folderelor şi cu m numărul fişierelor, putem constata că într-o reţea se poate
ajunge la situaţia în care produsul n x m devine foarte mare, iar produsul N x M mare
- pentru a nu ajunge la imposibilitatea gestionării resurselor reţelei, trebuie să ţinem
cont de următoarele reguli:
1. Organizarea folderelor
- se recomandă organizarea folderelor în foldere de aplicaţii, în foldere de date şi în
foldere home
- se recomandă plasarea folderelor de date şi home pe un volum separat faţă de cel pe
care este instalat sistemul de operare
- operaţiunea de backup devine mai simplă dacă datele sunt plasate într-un folder
separat
2. Acordarea permisiunilor la nivel de utilizator

- se recomandă acordarea permisiunilor celor mai restrictive la nivel de utilizator, dar
care să permită utilizatorului lucrul normal cu obiectele din reţea
- administratorii de lucrări şi administratorii de baze de date au o sensibilitate mare la
drepturi
3. Crearea de grupuri în acord cu accesele necesare la resurse şi acordarea de drepturi la
nivel de grupuri
- la nivel de utilizator este recomandat să se acorde drepturi numai prin excepţie
4. Pentru executarea aplicaţiilor să se acorde dreptul de R & E

- pentru a ne feri de ştergeri accidentale de fişiere din partea utilizatorilor şi pentru a ne
feri de viruşi
- virusul intrat are drepturi de utilizator
- nu se recomandă dreptul de R & E pentru contul de administrator, ci includerea
administratorului într-o grupă care are drepturi de R & E
Pagina 32 din 51
5. Pentru datele din directorul home
- se recomandă acordarea dreptului de L pentru userii autentificaţi, iar folderele proprii
utilizatorilor să aibă FC pentru Creator Owner
- în cazul folderelor de date se recomandă acordarea drepturilor de R & E şi W pentru
useri, şi nicidecum M
- pentru o bază de date ştergerea trebuie să fie interzisă
6. Interzicerile se folosesc doar în cazurile excepţionale
- dacă dorim ca un utilizator să nu aibă acces la un obiect, pur şi simplu nu îi acordăm
permisiunea
7. Încurajăm userii să acorde permisiuni la propriile obiecte create
Exerciţii
- creem un folder c:\test
- din meniul secundar alegem Properties -> Security
- dacă coloana Allow are căsuţele pe fond gri, înseamnă că moştenirea nu este ruptă
- pentru a dezactiva moştenirea, eliminăm bifa din Allow inheritable permissions from
parent to propagate to this object
- se deschide o fereastră care ne permite să copiem sau să eliminăm definitiv permisiile
- dacă alegem Copy, permisiile vor fi păstrate
- pentru a adăuga grupuri sau utilizatori, executăm click pe Add...
- cu butonul Check Names regăsim utilizatori sau grupuri tastând primele litere în lista
de jos
- adăugăm Authenticated Users cu R & E, L, R şi W şi eliminăm grupl Everyone
- creem un subfolder test1
- dacă Windows Explorer nu ne permite crearea folderului, atunci îl creăm din linia de
comandă
- rupem moştenirea pentru test1
- ca administrator putem modifica permisiunile folderelor, chiar dacă nu facem parte din
grupul de acces
- acest lucru este valabil şi pentru Creator Owner al folderului respectiv
- ca să putem şterge un folder, trebuie să avem permisiunile M sau FC
- acordăm permisiunile R şi W pentru test1
- permisiunea L la nivel de folder nu se propagă la fişier, dar R da
- în test1 creăm un fişier .txt
- nu putem modifica denumirea, dar putem scrie în fişier
- revenim la folderul test, bifăm M şi creăm un fişier test.txt
- din folderul test scoatem M şi lăsăm doar L
- fişierul test.txt nu va mai avea nici un drept
- la test.txt adăugăm Authenticated Users cu M
- din folderul test eliminăm Authenticated Users
- modificarea fişierului test.txt se poate face, în această situaţie, în felul următor:
- se partajează folderul test
- se deschide Notepad şi la Open... se scrie calea UNC
- prin copierea unui fişier dintr-un folder în altul, dacă destinaţia este tot un folder
NTFS, obiectul va fi tratat ca şi un obiect nou şi va primi permisiunile folderului
destinaţie
- dacă mutăm un obiect, atunci avem două situaţii:
- dacă se mută obiectul în cadrul aceluiaşi volum NTFS, atunci permisiunile se
păstrează
- dacă se mută de pe un volum NTFS pe alt volum NTFS, obiectul va prelua
caracterilsticile folderului destinaţie
- pentru destinaţie trebuie să avem cel puţin W, iar pentru sursă cel puţin M
Pagina 33 din 51
Cursul 10
NTFS (Continuare)
- la nivel de folder, dreptul W reprezintă permisiunea de creere de subfoldere şi fişiere,
pe când la nivel de fişier acest drept reprezintă permisiunea de suprascriere
- la nivel de fişier FC înseamnă dreptul de schimbare a permisiilor precum şi preluarea
dreptului de proprietate
- tot la nivel de fişier, M se referă mai mult la permisia de ştergere
- un lucru important în securizarea folderelor şi fişierelor este tăierea moştenirii la nivel
superior
- tăierea moştenirii se poate face la orice nivel
- nu se recomandă tăierea moştenirii la nivel de fişier decât în mod excepţional
- cu NTFS rezolvăm atât securitatea la acces,cât şi continuitatea lucrului
Recomandări
- grupul Everyone trebuie şters din rădăcină şi înlocuit cu Authenticated Users cu drept
de M şi cu Administrator cu FC
- pentru folderul Home păstrăm Authenticated Users cu L şi Administrator cu FC (acesta
se moşteneşte din rădăcină)
- pentru folderul de profil trebuie să acordăm FC pentru user
- nu se recomandă denumirea folderului de profil după numele userului, pentru a nu
pune la dispoziţia hackerilor lista userilor şi, eventual, numele lor de logare
- la folderul de date, SGBD-urile trebuiesc ascunse în foldere restricţionate
- programatorilor să le asigurăm drept de FC pe propriul folder, dar să le recomandăm
să nu acorde drepturi mai mari de R pentru alţii
Permisii speciale
- există 14 permisii speciale din care 2 şi mai speciale
- pe folderul Test1 acordăm R la administrator
- executăm click pe Advanced..., selectăm Administrator şi executăm click pe
View/Edit...
- vom găsi patru permisii speciale pentru R: List Folder/Read Data, Read Attributes,
Read Extended Attributes şi Read Permissions
- dacă schimbăm permisiunea R şi acordăm W, la permisiunile speciale vom găsi alte
patru: Create Files/Write Data, Create Folders/Append Data, Write Attributes şi Write
Extended Attributes
- pentru permisiunea L avem cinci permisii speciale: Traverse Folder/Execute File, List
Folder/Read Data, Read Attributes, Read Extended Attributes şi Read Permissions
- pentru R & E avem aceleaşi permisiuni ca la L
- cele două permisii utile sunt Change Permissions şi Take Ownership
- Change Permissions se acordă acelor useri care au dreptul să modifice permisiile dar
nu au drept de FC
- pentru administrator Change Permissions este implicit
- şi grupul Creator/Owner are implicit Change Permissions
- permisiunea Take Ownership permite utilizatorului preluarea dreptului de proprietate
- transferul de proprietate se face din doi paşi:
- predarea dreptului de proprietate prin activarea permisiunii Take Ownership pentru
utilizatorul respectiv (prin acordarea FC sau doar Take Ownership de la permisiunile
speciale)
- noul proprietar trebuie să-şi preia implicit proprietatea – acest lucru îl face utilizatorul
- dacă administratorul vrea să-şi preia dreptul de proprietate asupra unui obiect, el are
acest drept fără activarea specială a acestui drept
- pentru preluarea dreptului de proprietate trebuie parcursă calea meniu de context ->
Security -> Advanced... -> tabul Owner
- dacă opţiunea Replace owner on subcontainers and objects este activă, atunci se
schimbă proprietarul şi pentru conţinutul folderului
Pagina 34 din 51
- pentru protecţia totală a unui folder, se adaugă grupul Everyone şi la permisiile
speciale se selectează Deny pentru Delete
Cursul 11
16 Iunie 2003
Folderele partajate (shared)
- administrarea folderelor partajate este o metodă prin care putem realiza accesibilitatea
folderului prin reţea
- un folder partajat permite utilizatorilor din reţea accesul la subfolderele, respectiv la
fişierele conţinute
- un folder partajat poate conţine diferite tipuri de date – aplicaţii, date publice, date
personale – şi fiecare tip de dată necesită permisii specifice la nivel de folder
- permisiile de partajare se aplică la nivel de folder şi asigură o protecţie mai mică decât
permisiile NTFS
- nu restricţionează utilizatorul conectat local, ci se referă mai mult la utilizatorii
conectaţi prin reţea
- este singura metodă prin care putem restricţiona accesul la datele de pe volumele FAT
- când partajăm un folder, acesta va primi implicit permisiunea FC pentru grupul
Everyone
Permisiile shared
- Read (R) afişează numele folderului, fişierele şi subfolderele, precum şi atributele
acestora
- permite acces la citirea fişierelor, respectiv acces în subfolderele conţinute şi
executarea aplicaţiilor (seamănă cu R & E din NTFS)
- Change (C) permite crearea de subfoldere şi fişiere, modificarea fişierelor,
modificarea atributelor, ştergere de fişiere şi subfoldere, respectiv tot ce permite R
- Full Control (FC) permite modificarea permisiilor
- avem relaţia: R  C  FC
Aplicarea partajării
- un utilizator poate fi membru în mai multe grupe, iar grupele pot avea permisii diferite
la aceleaşi foldere
- în acest caz utilizatorul va avea accesul cel mai larg
- pe volumele NTFS, pentru ca un utilizator să aibă acces la un folder partajat, trebuie să
aibă, pe lângă permisiile share şi permisiile NTFS corespunzătoare
PU = PUshared  PUntfs
unde PU = permisii utilizator
M x N x PNTFS x Pshared
se gestionează de ACL
Principii pentru permisiile de partajare

- determinarea grupelor care au nevoie de acces la folder şi nivelul de acces de care au
nevoie
- folderele partajate au dezavantajul că sunt văzute şi de către utilizatorii care nu au
acces la ele
- folosirea permisiilor de partajare la nivel de grupe şi nu la nivel de utilizator
Pagina 35 din 51
- acordarea permisiilor celor mai restrictive care încă mai satisfac necesităţile
utilizatorilor, şi nu mai mult
- se recomandă FC doar utilizatorilor responsabili
- organizăm resursele în aşa fel încât să putem acorda permisiile cele mai restrictive
- folosirea de denumiri scurte pentru foldere, mergând până la respectarea restricţiilor
DOS (denumiri 8.3)
- se recomandă instalarea aplicaţiilor şi a datelor doar pe server
- apelarea executabilului se va face prin maparea acestuia în calculatorul client şi prin
introducerea căii în Target
- se recomandă acordarea de FC pentru administrator, C pentru grupul de responsabili şi
R pentru utilizatori
- pentru home se recomandă L pentru userii autentificaţi pe NTFS şi C la partajare, iar
pentru utilizator FC
- folderele de date trebuiesc ţinute separat de sistemul de operare şi acordarea de C
pentru utilizatorii datelor
- utilizatorii care deţin FC pot modifica permisiile de partajare
- pentru evitarea supraîncărcării reţelei, avem posibilitatea de a limita accesul simultan
la un folder partajat
- copierea sau mutarea unui folder partajat are ca rezultat un folder nepartajat
- proprietatea caching permite folosirea unui fişier prin copierea acestuia în calculatorul
clientului şi actualizarea modificărilor după salvare
- nu se recomandă activarea proprietăţii caching la fişierele de date cu acces concurent
Conectarea la un folder partajat

- cel mai simplu se face prin My Network Places
- se mai poate face prin tastarea căii UNC în linia de comandă
- o altă modalitate este maparea folderului din Windows Explorer -> meniu de context
pe My Network Places -> Map Network Drive...
- Reconnect at logon face ca maparea să devină permanentă, dacă această opţiune este
activă
- mapările se reţin în profilul utilizatorului
- mapările sunt necesare deoarece anumite aplicaţii mai vechi nu recunosc calea UNC
Partajarea invizibilă
- se execută prin aplicarea caracterului $ în coada numelui de partajare
- Windows 2000 execută partajare invizibilă la instalare pentru rădăcinile discului,
inclusiv unitatea CD
- prin apelarea denumirii de partajare invizibilă din linia de comandă, avem acces la
toate folderele, indiferent de drepturile de partajare pe care le deţinem
- Admin$ este folderul în care este pus sistemul de operare, iar intrarea se face cu
\\nume_server\Admin$
- deoarece permisiile de partajare se pot ocoli, trebuie să ne bazăm pe securitatea NTFS
- se recomandă eliminarea grupului Everyone din rădăcina discului şi înlocuirea
acestuia cu Authenticated Users
- dacă nu vrem să acordăm acces la rădăcina discului, atunci selectăm opţiunea Do not
share this folder pentru rădăcină
Pagina 36 din 51
Cursul 12
18 Iunie 2003
Politici de securitate (Security Policies)

- înţelegem totalitatea măsurilor luate pentru a împiedica orice acces neautorizat
- politicile de securitate au trei nivele:
- nivelul 1: politicile de securitate locale (Local Security Policies) se reţin in regiştri
- nivelul 2: politicile de securitate de domeniu (Domain Security Policies) se reţin în
Active Directory
- nivelul 3: politicile de securitate de controller (Domain Controller Security Policies) se
reţin tot în Active Directory
- definirea locală a politicilor de securitate vor avea efect numai dacă nu avem definit
nimic pe domeniu, altfel definiţiile pe domeniu vor suprascrie definiţiile locale
- din cele trei nivele de definiţie rezultă politicile efective
- dacă avem definită o politică de securitate la nivel de controller, aceasta va fi valabilă
şi pe nivelele 1 şi 2
- configurarea politicilor de securitate se face din consola MMC, prin selectarea funcţiei
Group Policy
- desfacem nodurile Computer Configuration -> Windows Settings -> Security Settings
Politici legate de parole

- username şi password formează un întreg, astfel că sistemul de securitate verifică acest
cuplu şi nu separat fiecare element al cupulului ca în Windows NT
- username poate avea maximum 20 de caractere (în cazul unor legături dial-up acesta
se trunchează la 11 caractere)
- nu este case-sensitive
- parola poate să aibă de la 0 la 128 de caractere şi este case-sensitive
- la Account Policies -> Password Policy avem 6 opţiuni cu afişarea setării locale şi
setării efective
- Enforce password history reprezintă o cifră între 0 şi 24 şi indică numărul de parole pe
care un utilizator poate să le folosească până la refolosirea unei parole vechi
- Minimum password age indică numărul minim de zile de valabilitate a parolei şi poate
lua valori între 0 şi 999
- dacă are valoarea 0, istoricul parolei nu are efect
- Maximum password age indică numărul maxim de zile de valabilitate a parolei, cu
valori între 0 şi 999
- trebuie să aibă loc relaţia:
Minimum password age  Maximum password age
- dacă are valoarea 0 atunci parola nu expiră
- Minimum password length indică numărul minim de caractere pentru parolă
- trebuie să avem relaţia:
0  Minimum password length  14
- Passwords must meet complexity requirements se referă la componenţa parolei
- dacă această funcţie este activă atunci parola trebuie să includă în mod obligatoriu
litere mari şi mici, cifre şi semne şi nu poate să conţină username-ul
- Store password using reversible encryption for all users in the domain identifică
parola folosind decriptarea inversă, ceea ce reduce securitatea criptării
- pentru ca setările făcute la politicile de securitate să devină active trebuie repornit
calculatorul
Politici de blocare a conturilor (Account Lockout Policy)

- Account lockout duration se referă la timpul de blocare, în minute, a contului în cazul
eşecului la logare
- poate lua valori între 0 şi 99.999 de minute (69,4 zile)
Pagina 37 din 51
- valoarea 0 indică faptul că contul va fi blocat până la deblocarea lui de către
administrator
- Reset account lockout counter after indică numărul de minute după care contul este
automat blocat
- Account lockout duration trebuie să fie  decât Reset accout lockout counter after
- Account lockout threshold indică numărul de încercări de logara nereuşite după care
contul va fi blocat
- are valori între 0 şi 999
Opţiuni de securitate (Security Options)

- Allow system to be shut down without having to log on permite închiderea
calculatorului din fereastra de logare, fără a fi necesară logarea utilizatorului
- Clear virtual memory pagefile when system shuts down şterge fişierele temporare
create de folosirea memoriei virtuale de pe hard disc
- aceste fişiere nu sunt şterse automat la ieşire, ele putând fi apelate ulterior de către alte
persoane decât utilizatorul, pentru citirea conţinutului, fapt care constituie o gaură în
securitatea datelor
- prin activarea acestei opţiuni, fişierele memoriei virtuale se vor şterge la log off
- Disable CTRL+ALT+DEL requirement for logon atunci când este enabled nu mai
afişează fereastra CTRL+ALT+DEL la logare
- funcţia CTRL+ALT+DEL este o funcţie sistem a Windows-ului şi previne logarea
viruşilor
- Do not display last user name in logon screen previne afişarea numelui de logare al
ultimului user logat în fereastra de log
Politicile de securitatea de domeniu (Domain Security Policies)

- Administrative Tools -> Active Directory Users and Computers -> click dreapta pe
denumirea serverului -> Properties -> tabul Group Policy -> dublu click pe Default
Domain Policy -> Computer Configuration -> Windows Settings -> Security Settings
-> Account Policies
- la Password Policy avem doar o singură coloană care indică setarea
- pentru toate politicile avem opţiunea Define this policy setting
- aceste configurări vor suprascrie politicile locale
- pentru reactualizarea setărilor avem trei posibilităţi:
- aşteptăm 8 ore pentru reactualizarea automată
- restartăm computerul
- executăm următoarea comandă din linia de comandă:
SECEDIT /REFRESHPOLICY MACHINE_POLICY
Politicile de securitate la nivel de controller (Domain Controller Security Policies)

- calea este identică, prin selectarea controllerului de domeniu
Sistemul de auditare (Audit Policy)

- în Windows 2000, sistemul de auditare este un proces care urmăreşte atât activitatea
utilizatorului, cât şi activitatea sistemului de operare
- sistemul de auditare poate urmări toate evenimentele din reţea
- prin configurarea sistemului de auditare putem stabili care vor fi acele evenimente
care vor fi urmărite
- vom avea informaţii despre acţiunea respectivă, despre utilizatorul care a efectuat
acţiunea, succesul sau eşecul acţiunii şi data şi ora acţiunii
- politica de auditare constă din definirea acelor categorii de evenimente care intră sub
urmărire
- putem urmări activitatea unui singur utilizator sau a mai multora, accesarea unor
resurse, evenimentele încheiate cu succes şi/sau eşec
Pagina 38 din 51
- printr-o politică bine aleasă, putem minimiza sau chiar elimina accesul neautorizat la
resurse
- verificarea fişierelor de auditare se face cu consola Event Viewer
Tipurile de auditări
- acces la fişiere şi/sau foldere
- acces la imprimante
- logări şi ieşiri
- shutdown, restart
- schimbările şi modificările la nivel de grupe şi utilizatori
- modificări aduse obiectelor din Active Directory
- trebuie să stabilim dacă urmărim succesul sau eşecul unor evenimente
- se recomandă urmărirea eşecurilor deoarece sunt mai rare şi atrag atenţia asupra unor
probleme de securitate
- se recomandă auditarea reţelei în timp pentru a putea urmări modificările aduse la
nivel de utilizatori şi resurse şi pentru a trage concluzii cu privire la dinamica reţelei
- se recomandă auditarea a cât mai puţine evenimente, deoarece auditarea excesivă
supraîncarcă sistemul
- la obiectele de importanţă majoră, se recomandă auditarea la nivelul grupului
Everyone
- trebuie urmărită activitatea grupului Administrators din două motive: hackerii tind să
se logheze ca administrator şi, în plus, suntem acoperiţi în activitatea noastră de
administrator
- pentru Administrator se recomandă auditarea la nivelul fişierelor sensibile pe succes
- este necesară arhivarea periodică a fişierelor de audit
Cofigurarea sistemului de auditare

- se face din doi paşi:
- configurarea propriu-zisă a sistemului de auditare
- activarea sistemului de auditare
Pagina 39 din 51
Cursul 13
23 Iunie 2003
Configurarea sistemului de auditare

- se face din Control Panel->Administrative Tools->Local Security Policy->Local
Policies->Audit Policy
- Audit account logon events – controllerul de domeniu primeşte o cerere de validare a
unui cont de utilizator (auditare locală)
- Audit account management – un administrator crează, modifică sau şterge un grup sau
un user, sau redenumeşte, blochează, deblochează sau modifică parola (auditare
locală)
- Audit directory service access – un utilizator primeşte acces la un obiect din Active
Directory (obiectele trebuiesc specificate)
- Audit logon events - intrarea şi ieşirea utilizatorului
- Audit object access – acces la fişiere foldere sau imprimante
- Audit policy change – modificări în politicile de securitate
- Audit privilege use – operaţii privilegiate (de exemplu, modificarea timpului sistem)
- Audit process tracking – un program execută o acţiune (pentru a ajuta depanările
programelor)
- Audit system events – orice eveniment care afectează securitatea reţelei (de exemplu,
închiderea sau restartarea unui calculator)
Exerciţiu
- pentru auditarea locală unui obiect pentru succes şi eşec, selectăm audit object access,
click dreapta şi bifăm cele două opţiuni
- audităm folderul test
- click dreapt pe test -> Properties -> Security -> Advanced... -> tabul Auditing şi
adăugăm grupul sau utilizatorul dorit.
- în fereastra ce se deschide putem selecta auditarea pe succes sau eşec a permisiunilor
speciale
- în fereastra Event Viewer putem vizualiza jurnalul de auditare la tabul Security Log
Obiectele din Active Directory

- în Active Directory Users and Computers, în meniul View avem o opţiune denumită
Advanced Features
- dacă este dezactivată şi apelăm meniul de context de la Users -> Properties, atunci ni
se prezintă un singur tab denumit General
- dacă selectăm Advanced Features, atunci la proprietăţile obiectelor din Active
Directory vom avea trei taburi: General, Object şi Security
- la Builtin găsim grupele instalate implicit de către sistemul de operare
- se recomandă redenumirea acestor grupe după instalarea sistemului, mai ales a grupei
Administrators, şi auditarea întregului folder Builtin
Event Viewer
- la Event Viewer avem trei fişiere de auditare principale: pentru aplicaţii, pentru
securitate şi pentru sistem
- application log conţine erori, avertizări şi informaţii generate de programe – acesta
este implicit şi nu are legătură cu auditarea
- security log afişează auditarea obiectelor desemnate de administrator
- system log conţine erori, avertizări şi informaţii generate de sistemul de operare
- fişierele de auditare sunt localizate în %SystemRoot%\system32\config şi se numesc
AppEvent.evt, SecEvent.evt şi SysEvent.evt
- dacă intrăm la proprietăţile fişierului Security Log din Event Viewer putem să
determinăm lungimea fişierului, care este de 512 Kb implicit, putem să golim fişierul
sau să facem filtrări pe diferite criterii
Pagina 40 din 51
Cursul 14
25 Iunie 2003
Imprimarea
- este una dintre cele mai problematice activităţi dintr-o reţea, având în vedere
diversitatea imprimantelor
- legarea unei imprimante la reţea se poate face în două moduri:
1) legarea la un calculator (imprimantă locală)
2) legarea prin placa de reţea a imprimantei, în cazul unei imprimante de reţea
- imprimanta de reţea reduce costurile de imprimare
Terminologie
- Printerul este un software de interfaţă între sistemul de operare şi dispozitivul de
tipărire
- acesta decide dacă un document este sau nu trimis către un dispozitiv de tipărire şi
când anume, fie legat printr-un port sau prin reţea, fie printr-un fişier de legătură, şi
care sunt acele aspecte pe care le va utiliza procesul de tipărire
- când un utilizator vrea să se conecteze la un printer, atunci utilizează numele acestuia
- Dispozitivul de tipărire este imprimanta fizică (hardware) care din punctul de vedere
al reţelei poate să fie locală sau de reţea
- Printer port este un software de interfaţă prin care calculatorul comunică cu
dispozitivul de tipărire LPT, COM, USB sau nişte porturi speciale cum sunt HP Jet
Direct sau Intel Net Port
- Printer driver reprezintă unul sau mai multe fişiere prin care sistemul de operare
converteşte comenzile de tipărire într-un limbaj specific de tipărire (este specific
dispozitivelor folosite)
- pentru tipărirea în reţea avem nevoie de cel puţin un dispozitiv legat de un calculator –
print server – cu Windows 2000 Server instalat
- acesta suportă cantităţi mari de date şi este compatibil cu reţele Unix sau Macitosh
- putem rula imprimanta şi de sub Windows 2000 Professional dar suntem limitaţi la 10
conexiuni simultane şi nu ne putem conecta la clienţi Macintosh
- serverul de imprimare trebuie să aibă RAM suficient şi spaţiu liber pe disc
Instalarea printerelor
- se recomandă instalarea imprimantelor din folderul Printers şi nu din fişierul de
instalare al imprimantei
- indiferent de tipul imprimantei, in cadrul wizardului de instalare, selectăm Local
printer şi nu Network printer
- dacă instalăm un printer local, în fereastra Select the printer port alegem un port local
- la Add printer wizard putem folosi Have disk... dacă avem softul pe CD sau floppy sau
Windows Updates dacă avem conexiune la Internet
- la Name your printer se recomandă să redenumim imprimanta
- partajarea imprimantei se poate face şi ulterior de la proprietăţile imprimantei
Instalarea unui printer de reţea

- se recomandă pentru imprimări mari
- oferă localizare independentă de un server
- transferă datele mai rapid
- necesită port adiţional şi informaţii de protocol
- la instalare alegem Local printer şi apoi Create a new port cu opţiunea Standard
TCP/IP port
- apoi trebuie să introducem adresa de reţea a printerului şi tipul plăcii de reţea
Pagina 41 din 51
- la Location and Comment se recomandă localizarea imprimantei pentru ca userii să
găsească imprimanta
Adăugarea unui printer de pe un server

- în Add printer wizard alegem Network printer
- selectăm opţiunea Type the printer name şi, fără să completăm caseta text, executăm
click pe butonul Next şi selectăm imprimanta cu ajutorul browserului
- în cazul imprimantelor locale, oprirea procesului de tipărire se face prin click pe

imprimantă -> meniul File -> Use printer offline
- Printer pool este un printer la care sunt ataşate mai multe dispozitive de tipărire, cu
condiţia ca acestea să fie de acelaşi tip
- dispozitivele de tipărire pot să fie locale sau de reţea
- din proprietăţile printerului – nu a shortcutului – alegem tabul Ports şi activăm Enable
printer pooling
- la tabul Advanced -> Priority putem selecta gradul de prioritate faţă de alte printere:
cu cât cifra e mai mare cu atât creşte prioritatea
- la tabul Security putem acorda sau refuza permisii
- permisiunea Print permite tipăriri de documente, oprire, rezumare, restartare şi anulare
precum şi proces de tipărire propriu
- Manage Printers permite configurarea imprimantei inclusiv partajare, schimabare de
permisii sau ştergerea imprimantei
- Manage Documents permite controlul tuturor documentelor
- pagina de separare este un fişier care conţine comenzi specifice pentru dispozitive de
tipărire şi are 2 funcţii: identificarea documentelor prin plasarea unei pagini de
separare şi comutarea între două limbaje de tipărire: PCL (Printer Control Language)
şi PostScript
- în Windows 2000 sunt patru astfel de fişiere, pe care le găsim în %SystemRoot
%\System32:
- sysprint.sep – imprimă o pagină în faţa fiecărui document şi comută în PostScript
- pcl.sep – imprimă pagina şi comută în PCL
- pscript.sep – comută în post script şi nu imprimă
- sysprtj.sep – imprimă caractere japoneze
- selectarea unui fişier de separare se face cu ajutorul tabului Advanced de la
proprietăţile imprimantei reale -> Separator Page... iar cu Browse se alege fişierul
dorit
- configurarea printerului se poate face şi din fereastra printerului, meniul Printer
- Pause Printer se foloseşte atunci când se întâmplă un incident cu imprimanta
- Cancel All Documents anulează toate documentele prin golirea cozii de tipărire
- meniul de context al jobului ne permite oprirea tipăririi documentului cu Pause şi
reluarea acesteia cu Resume
- Restart reia imprimirea de la început, iar Cancel anulează imprimarea
- cu Schedule putem programa jobul
Auditarea imprimantei
- pentru a putea audita o imprimantă trebuie să activăm Object access pe succes şi/sau
eşec din Active Directory
- la Security -> Advenced -> Auditing -> Everyone şi aplicăm auditare pentru printer şi
documente
Pagina 42 din 51
Cursul 15
30 Iunie 2003
Sistemul de fişiere distribuit (Distributed File System)

- permite creare unei structuri de arbore logic pentru resursele din folderele aflate pe
oricare server din reţea
- utilizatorii pot găsi folderele partajate folosind arborele Dfs
- sistemul Dfs oferă un punct unic de referinţă pentru toate resursele partajate, indiferent
de serverul fizic din reţea
Avantaje:
- administrarea simplificată – când cade un server, putem redirecta arborele Dfs la un
alt server, fără ca utilizatorii să sesizeze acest lucru
- navigare simplă – clienţii accesează resursele cu un singur spaţiu de nume folosind
rădăcina arborelui Dfs
- nu mai este nevoi de mapare, dar în caz de nevoie, linkurile din Dfs pot fi mapate
- echilibrarea încărcării reţelei – Dfs distribuie în mod automat accesul la fişiere pe mai
multe unităţi de disc, chiar din mai multe servere, în funcţie de traficul din reţea
- extensibilitate – poate fi extins cu oricâte elemente
- menţinearea securităţii – permisiile acordate la nivel de folder rămân valabile
- caching – după ce o resursă este accesată de un utilizator, aceasta este păstrată în
memorie până când utilizatorul menţine sesiunea de lucru
Limite:
- numărul maxim de caractere pe cale trebuie să fie mai mic de 260
- numărul maxim de alternative pe volum trebuie să fie mai mic sau egal cu 32
- numărul maxim de rădăcini Dfs este 1 pentru Dfs autonom şi nelimitat pentru Dfs de
domeniu
- numărul de volume pe arbore este teoretic nelimitat, practic depinde de server
- Dfs se instalează automat la instalarea Windows 2000 Server şi nu poate fi eliminat din
sistem
- poate fi de două feluri: autonom (stand-alone) şi de domeniu
- Dfs autonom se stochează în registrele locale ale unui singur server
- permite un singur nivel de linkuri
- permite toate sistemele de fişiere, dar se recomandă NTFS
- lipseşte redundanţa
- Dfs de domeniu este tolerant la defectări
- topologia este memorată în Active Directory
- toleranţa la defectări este asigurată prin posibilitatea ca linkurile să arate spre mai
multe dosare partajate identice
- avem la dispoziţie serviciul de replicare al fişierelor
- nu permite decât NTFS
Configurarea
- arborele Dfs formează un spaţiu de nume DNS unic
- un arbore este format dintr-o rădăcină şi noduri copil (linkuri)
- userii conectaţi la Dfs văd volumele, iar dacă au permisiune pot intra
- pentru activare Dfs, trebuie creată o consolă mmc şi adăugată funcţia Dfs
- pentru rădăcina Dfs trebuie să creăm un folder partajat direct din rădăcină
- meniu de context pe Dfs şi alegem New Dfs root
- meniu de context pe rădăcină şi alegem New dfs link
- Dfs poate fi îmbricat, dar acest lucru nu se recomandă pentru a nu crea referinţe
circulare
Pagina 43 din 51
- pentru a defini o alternativă pentru un link, meniu de context pe link, New replica şi
căutăm calea folderului respectiv pe un alt server pentru replicare
- dacă rădăcina este de domeniu, atunci se asigură automat identitatea acestor directoare
- replicile locale servesc numai pentru echilibrarea reţelei (maximum 32 şi trebuiesc
administrate manual)
- în general se utilizează Dfs de domeniu
- se recomandă maparea rădăcinii arborelui Dfs
- se recomandă crearea replicilor
Pagina 44 din 51
Cursul 16
2 Iulie 2003
Registry
- este o bază de date ierarhică în care sistemul de operare reţine setările hardware şi
software
- în varianta Windows 2000, registry înlocuieşte o serie de fişiere de tip INI, COM sau
SYS utilizate în sistemele de operare mai vechi
- registry furnizează informaţii privind lansarea aplicaţiilor, a componentelor precum şi
driverele şi protocoalele
- conţine date de diferite tipuri: componente hardware, drivere, protocoale, setările
plăcii de reţea
- datele sunt automat actualizate de către sistemul de operare
- în kernelul Windows NT programul ntoskrnl.exe citeşte în timpul startup-ului
informaţiile din registry şi înregistrează versiunea proprie
- driverele – citesc informaţiile referitoare la parametri de configurare şi scriu
informaţiile despre resursele utilizate
- user profile – Windows 2000 ţine profilul utilizator într-un fişier
- la startup sistemul de operare încarcă în registry variabilele profil pentru utilizatorul
care se loghează
- la modificarea acestora, prima dată modificarea se înregistrează în registry şi abia pe
urmă în User Profile
- Setup – în timpul instalării unei aplicaţii sau driver, programul de instalare
înregistrează în registry noua configuraţie, iar prin interogarea informaţiilor din
registry se determină componentele deja instalate
- Hardware Profile – citeşte configurarea hardware
- ntdetect.com – în timpul încărcării sistemului de operare detectează hardul şi
înregistrează în registry configuraţia actuală
- Registry are o structură ierarhică
- structura este arborescentă, asemănătoare cu structura logică a hard discului
- SUBTREE este analog cu rădăcina hard discului
- există două subtree-uri: HKEY_LOCAL_MACHINE şi HKEY_USERS
- HKEY vine de la handled key
- aceste două subtree-uri sunt reale
- pentru regăsirea rapidă a informaţiilor apar încă 3 subtree-uri logice:
HKEY_CURRENT_USER, HKEY_CLASSES_ROOT şi
HKEY_CURRENT_CONFIG
SUBTREE
KEYS
ENTRIES
- KEYS este analog folderului şi corespunde grupărilor de obiecte
- fiecare keys poate conţine una sau mai multe entry şi fiecare entry are mai multe
caracteristici(echivalente cu câmpurile dintr-o bază de date): nume, tip, valoare
- HIVE (stup) – este o parte discretă din KEYS sau ENTRIES şi corespunde unui fişier
registru şi unui fişier log stocate în %system root%\system32\config
- fişierul registru nu are extensie
- Windows 2000 foloseşte aceste fişiere pentru înregistrarea modificărilor şi pentru
asigurarea integrităţii regiştrilor
Pagina 45 din 51
Tipurile de date utilizate
- fiecare tip are în faţă denumirea REG
- REG_WORD conţine 1-8 caractere hexazecimale
- aici se reţin date numerice
- REG_SZ corespunde strigului
- REG_EXPAND_SZ conţine şir de caractere dar poate conţine variabile system care,
prin expandare, vor fi înlocuite cu variabile concrete
- REG_BINARY este un şir de caractere hexazecimale în care fiecare pereche este
interpretată ca şi un octet
- REG_MULTI_SZ reprezintă valori multiple de şiruri de caractere
- fiecare şir este considerat ca şi un entry separat (corespunde câmpului memo)
- REG_FULL_RESOURCE_DESCRIPTOR conţine o listă cu resurse hard şi soft şi
este nemodificabilă pentru utilizator
Subtree-uri
- HKEY_LOCAL_MACHINE este un subtree fizic şi conţine toate informaţiile privind
configurarea calculatorului local
- HKEY_USERS conţine setările implicite ale sistemului de operare, respectiv
informaţiile privind controlul userilor
- HKEY_CURRENT_USER conţine date despre userul curent
- HKEY_CLASSES_ROOT conţine date privind configurarea soft
- HKEY_CURRENT_CONFIG conţine date privind configurarea curentă, adică copiile
informaţiilor din hive-urile sistem şi software
- HKEY_LOCAL_MACHINE – informaţiile de aici nu depind de utilizatorul intrat
- are 5 keys:
- cheia hardware conţine tipul şi starea componentelor fizice
- informaţiile nu sunt mapate în fişiere
- cheia SAM conţine baza de date directory pentru calculatorul local
- mapează fişierele SAM şi SAM.log
- cheia SECURITY conţine informaţii de securitate pentru calculatorul local
- mapează fişierele SECURITY şi SECURITY.log
- cheia SOFTWARE conţine informaţii privind driverele system şi serviciile
- mapează fişierele SOFTWARE şi SOFTWARE.log
- cheia SYSTEM conţine informaţii despre sistemul de operare
- mapează fişierele SYSTEM şi SYSTEM.log
Programul Regedit
- sub Windows 2000 se numeşte regedt32
- salvarea configuraţiei se face cu Save Key din meniul Registry – salvează regiştrii în
format binar
- înainte de salvare trebuie să selectăm subtree-ul sau cheile
- reîncărcarea se face cu Restore
- Save Subtree As ... salvează în fişier text
- putem face verificări de la distanţă cu Select Computers
- singurul motiv pentru a umbla manual în registry este dezinstalarea programelor care
nu se dezinstalează
File Replicated Service
- serviciul de replicare al fişierelor din Windows 2000 este folosit pentru replicarea
fişierelor pe mai multe servere şi pentru replicarea volumului sistem pe toate
controllerele – directorul sysvol
- FRS este instalat automat pe Windows 2000 Server şi porneşte automat pe toate
cotrollerele şi poate fi pornit pe toate serverele membre
- replicarea Active Directory şi FRS sunt independente, dar folosesc aceiaşi topologie,
terminologie şi metodologie
- de fapt, Active Directory foloseşte FRS pentru sincronizarea pe toate controllerele
- la instalarea Active Directory FRS este pornit automat
Pagina 46 din 51
- fiecare domeniu are unul sau mai multe controllere de domeniu, iar pe fiecare
controller se găseşte o copie a Active Directory
- în cadrul unui site (amplasament), serviciul Active Directory formează o topologie inel
- topologia defineşte drumul prin care sunt actualizate bazele Active Directory şi
modalitatea de actualizare a bazelor una după alta, până la actualizarea lor pe toate
controllerele
- dacă adăugăm un nou controller, Active Directory reconfigurează topologia de
replicare, iar dacă un controller cade, automat este scos din topologia de replicare,
celelalte fiind reactualizate normal
- site-ul reprezintă unul sau mai multe subreţele formate din calculatoare bine legate
- bine legat înseamnă că într-un site calculatoarele sunt legate la viteza de 512 kb/sec.
site
site 1
domeniu domeniu site 2
un domeniu într-un site

site 3
un domeniu pe mai multe site-uri
site 1
domeniu 1 domeniu 2
site 2
site 3
mai multe domenii pe mai multe site-uri
- avem două tipuri de replicări: intrasite şi intersite

- replicarea intrasite face replicarea la intervale de 5 minute
- replicarea intersite efectuează replicarea la intervale de 3 ore, iar datele se transmit în
formă condensată (până la 88-90%)
- orice modificare intervenită în sysvol intră în replicare
- pentru configurare trebuie accesat Active Directory Sites and Services
- replicarea Dfs se face la fel, dar numai pentru Dfs de domeniu pe volume NTFS
- replicarea are loc şi pentru fişier şi pentru ACL
Pagina 47 din 51
Cursul 17
7 Iulie 2003
Terminal Services
- permite calculatoarelor mai slabe să execute programe care necesită resurse mai mari
- Terminal Services este introdus în Windows 2000 ca un serviciu standard
permite:
- acces cetralizat la aplicaţii
- folosirea calculatoarelor cu resurse hard minime
- acces la aplicaţii cu volum mai mare de date având o lăţime de bandă îngustă
- clienţii au nevoie, în multe cazuri, de acces doar la o singură aplicaţie şi nu la întreaga
suprafaţă de lucru
- clienţi suplii – calculatoare cu resurse hard foarte reduse
- clienţi umflaţi – calculatoare cu resurse hard normale
- indiferent de tipul clientului, folosirea calculatoarelor pe post de terminale necesită
numai încărcarea softului client (un program simplu ce poate fi introdus integral în
RAM)
- clienţii pot fi: calculatoare 386, 486 (teoretic şi 286) având sisteme de operare
cuprinse între DOS şi Windows 2000
- avem posibilitatea înlocuirii fără probleme a oricărui calculator client
- transfer redus de date prin reţea: se transmit numai datele de afişare pe ecran respectiv
datele comunicate prin tastatură şi mouse
Configurarea Terminal Services

- instalarea Terminal Services se poate face în timpul instalării Windows 2000 sau
ulterior, dar în acest caz s-ar putea ca unele aplicaţii să trebuiască reinstalate
cerinţe:
- Terminal Services să fie instalat pe un server autonom şi nu pe un controller de
domeniu
- să fie instalat pe o partiţie NTFS
- aplicaţiile trebuiesc instalate după ce Terminal Services a fost instalat
resurse hard:
- dacă utilizatorii sunt axaţi pe o singură activitate şi fac actualizări şi interogări de date
pe un volum redus de date (mai puţin de 500.000 de înregistrări), avem nevoie de
Pentium II cu minimum 400 Mhz şi 256 Mb RAM şi în plus 12 Mb pentru fiecare
utilizator.
- dacă utilizatorii au activităţi diverse, dar accesează date într-un volum redus (sub
500.000 de înregistrări), avem nevoie de 2 procesoare mai performante şi un RAM de
256 plus 24 Mb pentru fiecare utilizator
- dacă avem utilizatori ce accesează un volum mare de date, validări şi interogări
complexe de date, avem nevoie de 4 procesoare, minimum 512 Mb RAM plus 24 Mb
pentru fiecare utilizator
Instalarea Terminal Services

- trebuie să avem drept de administrator
- Control Panel -> Add/Remove Programs -> Add/Remove Windows Components
- selectăm Terminal Services şi Terminal Services Licensing
- Terminal Services Licensig este un program care acordă licenţe de acces la Terminal
Services
- la detalii mai avem opţiunile Client Creator Files şi Enable Terminal Services care
oferă acces la Terminal Services
- în momentul instalării avem opţiunile Application Server Mode (modul normal) şi
Remote Administrator Mode pe care îl instalăm numai dacă vrem să folosim Remote
Control, cu ajutorul căruia putem prelua controlul unei sesiuni ca administrator
Pagina 48 din 51
- după instalare, în Administrativ Tools vom avea opţiunile: Terminal Services Client
Creator, Terminal Services Configuration, Terminal Services Licensig şi Terminal
Services Manager
- Terminal Services Client Creator permite crearea dischetelor de instalare pentru
calculatoarele client
- clienţii pot fi atât clienţi Windows 3.x and more, dar şi Unix şi Macintosh, în acest caz
avem nevoie de un program de compatibilitate de la Citrix Systems
- avem posibilitatea să creăm dischete pe 16 sau pe 32 de biţi
- dacă rulăm dischetele pe DOS (!), avem comanda A:\setup.exe
- pe Windows 2000 and more instalăm de la Add New Program -> CD or floppy
- la Programs -> Terminal Services Client trebuie să alegem serverul precum şi rezoluţia
ecranului – aceasta trebuie să fie mai mică decât ecranul de lucru
- opţiunea Enable Data Compression oferă posibilitatea transmiterii datelor între client
şi server în formă condensată pentru calculatoarele slabe
- Cache Bitmaps to Disk – datele afişate pentru client se copiază local – se recomandă
selectarea acestei opţiuni
- pentru o conectare permanentă rulăm Client Connection Manager şi de la New
Connection din meniul File creăm o conexiune
- nu se recomandă Automatic Logon deoarece transmite parola în clar
Administrarea sesiunilor
- se face cu Terminal Services Manager
- putem trimite mesaje – meniu de context pe consola clientului şi alegem opţiunea
Send Message
- putem să deconectăm clientul – meniu de context pe numele clientului şi alegem
opţiunea Disconnect
- dacă avem instalat Remote Control, îl putem activa tot de la meniul de context al
consolei
- putem să configurăm la nivel de utilizator aspecte legate de utilizarea Terminal
Services
- acest lucru se poate face de la proprietăţile userului din Active Directory Users and
Computers, tabul Terminal Services Profile
- putem să interzicem accesul la Terminal Services prin deselectarea opţiunii Allow
logon to terminal server
- la tabul Environment putem determina programul cu care porneşte sesiunea
- la tabul Sessions putem limita durata sesiunilor de lucru
- avem un tab de configurare şi pentru Remote Control
Pagina 49 din 51
Cursul 18
Configurări
- Windows 2000 reţine informaţiile de configurare în Registry şi în Active Directory
- uneltele de editare pentru configurarea sistemului sunt consolele mmc, editorul de
registry şi Control Panel
- urmăm calea Control Panel -> System -> Hardware
- la Hardware Profiles apare o listă cu profilele accesibile
- există implicit un profil
- pentru a crea un nou profil se selectează un profil existent şi copiază cu butonul
Copy... iar pe urmă se redenumeşte
- dacă există mai multe profile, atunci la pornirea sistemului putem selecta profilul dorit
- profilele se utilizează pentru utilizatori foarte complicaţi
- configurarea unui profil se face prin logarea la profilul respectiv
- la System Properties avem tabul Advanced
- la Performance Options putem configura distribuirea resurselor microprocesorului
între programele rulate simultan
- dacă alegem Applications atunci taskul activ va primi mai multe resurse microprocesor
- dacă alegem Background services atunci toate taskurile vor primi resurse egale
- tot aici putem defini dimensiunea memoriei virtuale
- modelul memoriei virtuale se bazează pe o memorie liniară adresabilă pe 32 de biţi şi
care poate fi de maximum 4 Gb
- pentru administrarea memoriei virtuale Windows 2000 utilizează sistemul Virtual
Memory Management care permite:
1) posibilitatea rulării mai multor aplicaţii simultan fără ca acestea să fie limitate la
memoria reală existentă
2) protecţia memoriei – VMM elimină posibilitatea ca un program să interfereze un
spaţiu de memorie alocat unui alt program
- memoria virtuală se referă la modul în care sistemul de operare face accesibilă
memoria fizică pentru aplicaţii
- Windows 2000 reprezintă fiecare bit de memorie cu o adresă unică
- VMM administrează un tabel de mapare a memoriei
- aici fiecare proces apare cu adresa virtuală a procesului şi a datelor utilizate
- când un thread solicită memorie VMM utilizează adresele virtuale pentru a localiza
adresele memoriei fizice corespondente, iar la nevoie transferă datele solicitate între
memoria fizică şi hard disc
- din cei maximum 4 Gb prima parte lucrează în kernel mode, adresele fiind mapate în
hardware, şi are un acces mai rapid
- a doua parte, kerne + user mode prezintă un tabel în care sunt paginate adresele
- paginile prezente în memoria fizică se numesc pagini valide, iar paginile care nu au
corespondent în memoria fizică se numesc pagini invalide şi ele se găsesc pe hard
Memoria virtuală Tabel Memoria fizică
Pagini
valide
Pagini
invalide
Hard disc
- VMM foloseşte trei taskuri
Pagina 50 din 51
- primul task determină pagina ce se mută pe hard disc pe baza stivei FIFO
- al doilea task aduce pagina solicitată de pe hard disc (procesul de fetching) dar uneori
şi paginile vecine (procesul de clustering)
- al treilea task determină unde vor fi aduse datele, goleşte spaţiul salvând datele pe disc
- fişierul de memorie virtuală se află pe disc în %system root%\pagefile.sys
- iniţial are o dimensiune de 2 Mb şi nu poate fi micşorat sub această valoare
- Microsoft recomandă ca fişierul pagefile.sys să aibă o dimensiune de 1,5 x RAM
- tot aici putem întâlni fenomenul treashing (sufocare), care are loc atunci când memoria
virtuală este mult mai mare decât memoria reală şi sunt multe solicitări din pagini,
deci memoria fizică va fi ocupată cu transferul de date de pe disc
- Environment Variables (variabilele de mediu), aici avem două categorii

- categoria sistem, afectează tot sistemul, modificarea lor fiind permisă numai pentru
administrator
- categoria user definite pentru fiecare utilizator
- definirea variabilelor de mediu se poate face pe trei nivele
1) Autoexec.bat cu comanda SET variabilă = valoare
2) setarea variabilelor sistem din Control Panel, în caz de conflict suprascrie variabila din
Autoexec.bat
3) setarea variabilelor users din Control Panel, în caz de conflict suprascrie Autoexec.bat
şi variabila sistem din Control Panel
- verificarea se face din DOS cu comanda SET sau CD %variabilă%
- Startup and Recovery conţine informaţii pentru system startup

- este util în cazul în care avem mai multe sisteme de operare instalate
- tot aici avem informaţii referitoare la cazurile de incidente
- opţiunile se referă la vidajul de memorie
- vidajul de memorie înseamnă scrierea conţinutului memoriei RAM într-un fişier numit
memory.dmp pentru care putem alege un folder în câmpul Dump File
- Small Memory Dump scrie primii 64 Mb de memorie RAM în fişier
- Kernel Memory Dump scrie între 50 şi 800 Mb
- Complete Memory Dump scrie tot ce se află în RAM
- la tabul Hardware, butonul Hardware Wizard... se foloseşte pentru a înlătura un

conflict între componente
- în cazul hardwarelor noi porneşte automat
- Device Manager afişează arborele componentelor hard

- dacă componenta funcţionează normal, icoana este cea implicită
- dacă componenta este dezactivată, icoana are un x roşu
- dacă este configurată incorect sau nu are driver atunci icoana prezintă semnul
exclamării
Backup
- salvarea de siguranţă a datelor este una dintre cele mai importante lucruri din reţea
- Start -> Programs -> Accessories -> System Tools -> Backup
- cu Emergency Repair Disk putem crea o dischetă de pornire în caz de incident de
sistem
- la Schedule Jobs putem programa salvările de siguranţă
Pagina 51 din 51

Curs 8 Tesutul Nervos - Suport

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Curs 8 Tesutul Nervos - Suport

Transféré par

Droits d'auteur :

Formats disponibles

Curs administratori de reţele Windows 2000

CURS ADMINISTRATORI REŢELE

Reţele de calculatoare – generalităţi

Componentele fizice ale unei reţele

topologia bus distribuit sau arbore

topologia şir de stele

- huburile de tip nou ştiu să comuteze între tipurile de topologii

Aplicaţie Date Datele sunt generate Date Aplicaţie

Sesiune Date A P P A Date Sesiune

Transport Date A P S S P A Date Transport

Reţea Date A P S T T S P A Date Reţea

Fizic Date A P S T R D D R T S P A Date Fizic

Calculator emitent Mediu de reţea Calculator receptor

Sisteme de operare în reţea (Network Operating System)

- permit funcţionarea coerentă a componentelor

- termenul de internetworking desemnează o reţea de reţele

- bridge-ul acţionează ca şi un filtru de adrese

- recepţionează,reformatează şi retransmite pachetele de date asamblate de diferite

- Windows 2000 Server are încorporat un router spre alte reţele

- avantaje Windows 2000:

- Windows 2000 Professional

- Windows 2000 Server

- Windows 2000 Advanced Server

- Windows 2000 DataCenter Server

- serviciul de directoare Active Directory

- comunicaţiile şi serviciile de reţea

Windows 2000 ne permite 2 modele de reţea

2) Domain – este un model client-server

Arhitectura sistemului de operare Windows 2000

POSIX Win32 OS/2 Integral

I/O Security IPC Process Plug Power I/O

Device drivers Microkernel

Hardware abstraction layer (HAL)

Microsoft Management Console (MMC)

Suita de protocoale TCP/IP (Transmission Control Protocol/ Internet Protocol)

- interfeţele de transport utilizate sunt WinSock (standard) şi NetBT

Date Date criptate Pachete TCP

Pachete TCP Cadru IP (frame)

- în fiecare cadru IP apare atât adresa destinatar cât şi adresa emiţător

Sistemul de adresare în reţea

- adresa de reţea se întinde de la 00000000 la 01111111

- adresa de reţea se întinde de la 10000000 la 10111111

- pentru a afla protocoalele instalate pe un calculator, parcurgem calea My Network

- se împart în comenzi de diagnosticare şi comenzi de conectivitate

DLC (Data Link Control) – controlul legăturii de date

Network Monitor Driver

Refacerea şi ruperea legăturilor

Scheduled Tasks (Sarcini planificate)

Serverul DHCP (Dynamic Host Configuration Protocol)

- este serviciul de evidenţă şi regăsire a resurselor reţelei

SPAŢIUL DE DENUMIRI (namespace)

Active Directory - structura logică

UNITĂŢILE ORGANIZAŢIONALE (organizational-unit) (O.U.)

ARBORELE DE DOMENII (domain trees)

PĂDUREA DE DOMENII (forests)

Active Directory - structura fizică

Proprietăţile Active Directory

3) Compatibilitatea cu standardele uzuale

4) Suport pentru convenţiile standard de denumire

- exemplu de nume distinctiv: DC=info/DC = edu/OU=Lectori, CN = user, CN = Eliza

- convenţia UPN (User-Principal-Name): nume_user@nume_domeniu

- UNC – Universal Name Convention

- se foloseşte la mapare şi are forma \\nume_server\cale

1. Instalaţi protocolul NWSLink IPX/SPX NetBios