PREHOD IZ NT4 DOMENE V AKTIVNI IMENIK - CORE

UNIVERZA V MARIBORU FAKULTETA ZA ORGANIZACIJSKE VEDE

Diplomsko delo visokošolskega strokovnega študija Smer Informatika v organizaciji in managementu

PREHOD IZ NT4 DOMENE V AKTIVNI IMENIK

Mentor: dr. Robert Leskovar, izred. prof. Kandidat: Klemen Ravnikar

Kranj, November 2005

ZAHVALA Zahvaljujem se mentorju dr. Robertu Leskovarju, izred. prof., za koristne nasvete in strokovno pomoč pri izdelavi praktikuma in kasneje diplomske naloge. Njegove jedrnate in učinkovite usmeritve so veliko pripomogle pri uspešnem pisanju tega dela. Hvala. Zahvaljujem se moji družini in najbližjim za moralno podporo med celotnim izobraževanjem na Fakulteti za organizacijske vede v Kranju. Njihove vzpodbude in razumevanje so pogostokrat predstavljale ključ do uspeha. Tako je ta diplomska naloga tudi njihov uspeh. Hvala.

POVZETEK Današnje organizacije zahtevajo učinkovite, zanesljive in visoko tehnološko razvite informacijske sisteme, sposobne prenesti izzive sodobnega poslovanja, ki s svojo dinamiko neprestano zahtevajo nove rešitve in prilagodljivost. V želji po uspešnem obstanku v zahtevnem poslovnem okolju se podjetja združujejo v poslovne skupine, kar od informacijskih sistemov zahteva povezljivost v smeri hitrega in transparentnega združevanja. Med tovrstna podjetja sodi S&T Hermes Plus d. d., v katerem obstoječi informacijski sistem ne ustreza trenutnemu poslovanju, kar zahteva posodobitev, ki bi bila rezultat nadgradnje NT4 domene v aktivni imenik, pri čemer sta obe Microsoftovi programski osnovi za organiziranje in upravljanje informacijske strukture. Predstavljene bodo različne teoretične možnosti prehoda iz NT4 domene v aktivni imenik in dejanski praktični prehod v omenjenem podjetju. KLJUČNE BESEDE

- informacijska tehnologija - NT4 domena - aktivni imenik - programske rešitve - strežniški sistemi

ABSTRACT Today's organizations require efficient, reliable and technologically-highly developed information systems capable of abominating challenges of modern business world, which with its own dynamic demands new solutions and adaptabilities. Desire for the existence in very demanding and highly successful business word forces these companies to join in corporative organizations, which demand a high connection in direction of quick and transparent agglomeration of information systems. One of these companies is S&T Hermes Plus d.d., where the existing information system doesn't suit the momentary business and it demands a modernization and updates as a result of Microsoft solution for organization and administration of information structure - an upgrade from NT4 domain to Active directory. This assignment will introduces and present various theoretical migrations and upgrades, as well as practical process of chosen solutions in the above mentioned company. KEYWORDS

- information technology - NT4 domain - Active Directory - program solution - server systems

KAZALO 1 Uvod........................................................................................................... 1

1.1 Opis podjetja S&T Hermes Plus d. d. in poslovne skupine S&T ................ 1 1.2 Delovne naloge oddelka interne informatike........................................... 2 1.3 Opis strukture informacijskega sistema.................................................. 3 1.4 Opis omrežnih povezav......................................................................... 4

2 Predstavitev uporabljene računalniške tehnologije ......................................... 5 2.1 Definicija domene................................................................................. 5 2.2 Predstavitev strežnika Windows NT 4.0 Server ....................................... 5 2.3 Predstavitev NT Directory Service (NTDS) - storitev imenik ..................... 6

2.3.1 Uporaba storitve imenik................................................................. 7 2.3.2 Prednosti in slabosti storitve imenik.............................................. 17

2.4 Predstavitev strežnika Windows 2003 Server........................................ 17 2.5 Predstavitev storitve aktivni imenik...................................................... 18

2.5.1 Uporaba aktivnega imenika.......................................................... 21 2.5.2 Prednosti aktivnega imenika ........................................................ 26

3 Posodobitev in migracija iz NT4 domene v aktivni imenik ............................. 27 3.1 Razlogi za posodobitev ....................................................................... 27 3.2 Teoretični načini prehoda iz NT4 domene v aktivni imenik..................... 27

3.2.1 Posodobitev NT4 domene v aktivni imenik .................................... 28 3.2.2 Migracija iz NT4 domene v aktivni imenik ..................................... 40

4 Praktično delo ........................................................................................... 44 4.1 Postavitev testnega okolja .................................................................. 44 4.2 Preslikava obstoječega informacijskega sistema v testno okolje............. 44 4.3 Uporaba in testiranje izbrane rešitve – prehoda.................................... 45 4.4 Izvedba dejanskega prehoda v produkcijskem okolju............................ 46

5 Zaključki ................................................................................................... 48 5.1 Splošne ugotovitve ............................................................................. 48 5.2 Pogoji in izbira ustrezne rešitve ........................................................... 49 5.3 Nadaljnji razvoj .................................................................................. 49 Literatura in viri............................................................................................. 50

Univerza v Mariboru - Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija

Klemen Ravnikar: Prehod iz NT4 domene v aktivni imenik stran 1 od 51

1 UVOD Današnje organizacije zahtevajo tehnologijo, ki jim bo omogočala konsistentno, učinkovito in zanesljivo informacijsko okolje. To mora biti sposobno prenesti izzive sodobnega poslovanja, ki s svojo dinamiko neprestano zahteva nove rešitve in prilagodljivost. Ta trend predstavljajo nenehna združevanja posameznih podjetij v poslovne skupine, saj jim le to omogoča preživetje v trenutno težkih in zahtevnih gospodarskih razmerah. Temu primerno morajo biti organizirane informacijske strukture, ki so sposobne ta združevanja in morebitna razvijanja tudi omogočiti. Zaradi specifičnih razlogov in tehnoloških trendov se dandanes podjetja odločajo za nadgradnjo svojih informacijskih sistemov. To zahteva temeljite razmisleke, številne predpriprave, uspešne izvedbe projektov in poznejša izobraževanja ter uvajanja v upravljanje z novimi tehnologijami. Predstavljeni bosta tehnologiji za nadzorovanje in upravljanje informacijskega sistema številnih podjetij, ki uporabljajo programske rešitve priznanega podjetja Microsoft, med katere sodi tudi naše podjetje S&T Hermes Plus d. d., in sicer sta to storitvi imenik in aktivni imenik. S predstavitvijo strežnikov Windows 2000 Server in Windows 2003 Server sanje o uspešnih in učinkovitih informacijskih sistemih postanejo resničnost. Poleg tehnologije bodo predstavljeni načini posodobitve oziroma migracije iz starega na nov sistem, s čimer se bo zajela teoretična osnova posodabljanja. Ta podlaga naj bi nakazala določene smernice pri nadgradnji informacijskega sistema podjetja, ki za upravljanje uporablja Microsoftove programske rešitve. 1.1 OPIS PODJETJA S&T HERMES PLUS D. D. IN POSLOVNE

SKUPINE S&T Podjetje S&T Hermes Plus, Informacijski sistemi d. d., je vse od svoje ustanovitve leta 1991 eden vodilnih ponudnikov rešitev informacijskih tehnologij na trgih Slovenije, Hrvaške, Makedonije, Srbije, Črne gore ter Bosne in Hercegovine, v interno imenovani regiji Adriatik. S pripojitvijo podjetja ITS Intertrade sistemi, podjetja z najdaljšo tradicijo na slovenskem IT-trgu, smo svojo prisotnost na trgih Adriatika še okrepili. Naša celovita ponudba zajema poslovne informacijske sisteme, rešitve za bančništvo, za elektronsko poslovanje, za upravljanje in arhiviranje dokumentov, geografske informacijske sisteme, poslovno inteligenco in upravljanje odnosov s strankami, rešitve za varno poslovanje ter diskovne sisteme, strežnike in omrežja. Poleg tega za vse naše rešitve in produkte nudimo tudi svetovanje, vzdrževanje in izobraževanje. Sodelujemo s številnimi vodilnimi proizvajalci informacijske tehnologije, kot so Cisco Systems, Microsoft, EMC2, Check Point, Hewlett-Packard, SAP, Entrust, Informix …



S pripojitvijo podjetja Skupina Atlantis d. o. o. smo okrepili našo ponudbo na področju izdelkov in storitev največjega svetovnega proizvajalca programske opreme Microsoft. V družbi S&T Hermes Plus v ospredje postavljamo kakovost storitev in zadovoljstvo naših strank. Na podlagi takšne usmeritve smo v začetku leta 1995 kot prvo računalniško podjetje v Sloveniji pridobili certifikat o izpolnjevanju zahtev standarda ISO 9001. Leta 1999 je večinski delež podjetja S&T Hermes Plus kupila dunajska družba S&T AG, kar je pripomoglo k širitvi poslov na nove trge srednje in vzhodne Evrope. Rezultat strateške združitve je družba z mrežo vrhunskih strokovnjakov, svetovalcev in prodajalcev, usposobljenih ponuditi našim poslovnim partnerjem visokokakovostne rešitve.

Slika 1: Shema skupine S&T (spletni vir S&T Hermes Plus d. d.)

1.2 DELOVNE NALOGE ODDELKA INTERNE INFORMATIKE Oddelek interne informatike oziroma IT ima v podjetju zelo pomembno in vidno vlogo, saj nadzoruje delovanje celotnega informacijskega sistema podjetja. Raznolikost nalog, ki jih opravlja, zahteva sposoben in strokovno usposobljen kader, ki mora hitro in učinkovito opravljati zahtevane naloge ter v najkrajšem možnem času uspešno odpravljati napake v delovanju informacijskega sistema. V podjetju S&T Hermes Plus d. d. je oddelek interne informatike sestavljen iz štirih ljudi, ki so razdeljeni v dva para, sorazmerno temu pa so razporejene tudi delovne



naloge. Prvi par skrbi za nemoteno delovanje protipožarnih zidov v celotni regiji Adriatik, drugi par pa opravlja ostale naloge, kot so pomoč uporabnikom, nemoteno delovanje strežniških sistemov, itd. V primeru večjih okvar oziroma problemov v delovanju informacijskega sistema pa deluje oddelek kot celota. Temu primerno se porazdelijo delovne naloge glede na strokovnost člana v smeri čimprejšnje odprave napake in vzpostavitve ponovnega normalnega delovanja. Delovna opravila oddelka interne informatike so naslednja:

• pomoč uporabnikom pri vsakodnevnem delu z računalnikom, • odpravljanje napak in reševanje problemov, • priprava računalnikov za vsakdanje delo z nameščanjem osnovne

programske opreme, ki zajema operacijski sistem, paket orodij za pisarniško delo ter posamezne specifične poslovne programe,

• nadgradnje programske opreme, • nemoteno delovanje strežniških sistemov, v katerega so vključeni poštni

strežnik Microsoft Exchange, domenski kontrolerji, datotečni in tiskalniški strežniki, SAP-strežniki, IP-telefonija,

• upravljanje z domeno in aktivnostmi, ki jih omogoča, • upravljanje in dodajanje uporabniških imen, gesel in varnostnih dostopov, • preprečevanje in odkrivanje napadov iz zunanjega internetnega in

notranjega omrežja, • vsakodnevno spremljanje in posodabljanje protivirusnih programov,

programov proti nezaželeni elektronski pošti, • preverjanje delovanja protipožarnega zidu, posodabljanje različnih politik, • redno arhiviranje pomembnih in kritičnih podatkov, • preverjanje delovanja baz podatkov in njihove integriranosti v delovnem

okolju, • zagotavljanje nemotenega delovanja celotnega računalniškega omrežja, • delovanje VPN-povezav oziroma internetnih povezav do ostalih poslovnih

enot ter poslovnih partnerjev, • preverjanje delovanja vseh priključenih računalnikov, • posodabljanje računalnikov z najnovejšimi varnostnimi popravki in servisnimi

paketi, • sodelovanje pri pripravi novih projektov in poznejših izvedbah, • svetovanje in podpora ostalim poslovnim oddelkom pri strokovnih vprašanjih

in specifičnih problemih, • spoznavanje, učenje in testiranje novih prihajajočih tehnologij, • pogosta izobraževanja in sodelovanja v računalniških delavnicah, • upravljanje s prijavno-registracijskim sistemom oziroma s prijavo in z odjavo

zaposlenih v delovnem času. 1.3 OPIS STRUKTURE INFORMACIJSKEGA SISTEMA Strukturo informacijskega sistema sestavljajo strežniki in delovne postaje podjetij Hewlet Packard – HP in IBM ter omrežna oprema podjetja Cisco System. Uporablja se programska oprema podjetja Microsoft, in sicer za strežnike operacijska sistema Windows NT 4.0 Server in Windows 2000 Server, za delovne postaje pa Windows 2000 Professional ter Windows XP Professional. Za delovanje poštnega strežnika



uporabljamo Exchange 5.5, za podporo poslovanju pa v veliki večini programske rešitve podjetja SAP. Zanesljivo in učinkovito računalniško mrežo tvorijo izdelki podjetja Cisco System, kot so usmerjevalniki, preklopniki, razdelilniki, in IP-telefonija. 1.4 OPIS OMREŽNIH POVEZAV Na sliki je predstavljena poenostavljena interna omrežna shema podjetja S&T Hermes Plus d. d.. Sestavljajo jo:

• primarni in pomožni domenski kontroler, ki nudita storitev DHCP (dodeljevanje statičnih in dinamičnih IP-naslovov in ostalih mrežnih informacij), imenska storitev DNS (pretvorba IP-naslovov v imena in obratno, imenik vseh naslovov) in WINS,

• strežnik Windows 2000 Server (NTP), ki opravlja funkcije datotečnega, ftp, tiskalniškega in podatkovnega strežnika,

• poštni strežnik Exchange 5.5., • strežniki Windows 2000 Server, kjer tečejo SAP aplikacije, namenjene

podpori poslovanja podjetja, • uporabniki s prenosnimi in stacionarnimi delovnimi postajami in • mrežni tiskalniki.

Slika 2: Poenostavljena interna omrežna shema podjetja S&T Hermes Plus d. d.



2 PREDSTAVITEV UPORABLJENE RAČUNALNIŠKE TEHNOLOGIJE

V informacijski strukturi podjetja S&T Hermes Plus d. d. se trenutno za nadzorovanje in delo z domeno uporabljajo strežniki Windows NT 4.0 Server v sobivanju s strežniki Windows 2000 Server, ki služijo kot datotečni, tiskalniški in podatkovni strežniki. Domenski strežniki se bodo v prihodnje nadgradili v Windows 2003 Server, medtem ko bodo obstoječi strežniki Windows 2000 Server v tej fazi nadgradnje ostali nespremenjeni. Tako bosta v nadaljevanju splošno opisana dva operacijsko-strežniška sistema, in sicer najstarejši Windows NT 4.0 Server ter najsodobnejši Windows 2003 Server, bolj podrobno pa njuni glavni storitvi imenik (NTDS – NT Directory Service) in aktivni imenik. Hkrati bodo predstavljene tudi posamezne osnovne definicije in pojmi, ki se uporabljajo v tovrstni terminologiji. 2.1 DEFINICIJA DOMENE V splošnem velja domena kot področje upravljanja oziroma zaokroženo znanje. Njen tehnološki pomen lahko razdelimo v dve tematski skupini:

• v svetu interneta je domena sestavljena iz zbirke mrežnih naslovov in je tako organizirana v posamezne nivoje. Najvišji nivo (top level domen) predstavlja geografsko ali splošno namembnost. Naslednji nivo predstavlja unikatno mesto v sklopu zgornje domene in je praktično ekvivalentna posamičnemu naslovu na internetu – IP-naslovu,

• v okolju Windows NT, Windows 2000 in 2003 domena predstavlja zbirko omrežnih virov, ki so lahko aplikacije, omrežni tiskalniki, omrežni pogoni itd. Ta zbirka predstavlja varnostno delovno okolje za skupino uporabnikov, ki v okviru te domene dostopajo in uporabljajo zgoraj omenjene vire. Vsak uporabnik ima svoja uporabniška ime in geslo, ki mu omogočata dostop do teh virov, ki so lahko razporejeni na različnih strežnikih v omrežju.

2.2 PREDSTAVITEV STREŽNIKA WINDOWS NT 4.0 SERVER Strežnik Windows NT 4.0 Server je večnamenski omrežni operacijski sistem, ki združuje večino uporabnih funkcij za upravljanje informacijskega sistema. Namenjen je preprostemu upravljanju in uporabi v vsakodnevnih poslovnih potrebah. Omogoča lokacijsko neodvisno povezovanje računalniških sistemov in transparentno izmenjavo informacij ter virov podatkov. V sebi združuje različne tehnologije, ki omogočajo različne strežniške storitve na posameznih področjih. Te storitve so:

• aplikacijske storitve, ki omogočajo sočasno uporabo aplikacije oziroma programa večjim številom uporabnikom naenkrat,

• datotečne storitve, ki omogočajo uporabo in dostopnost omrežnih datotek, • tiskalniške storitve, ki omogočajo uporabo omrežnih tiskalnikov, • komunikacijske storitve, kot so integriran usmerjevalnik, DNS imenski sistem,

DHCP strežnik za dodeljevanje statičnih in dinamičnih IP-naslovov in ostalih mrežnih podatkov različnim operacijskim sistemom, PPP-tunelski protokol, oddaljeni pristop, WINS itd.,



• internet/intranet storitev, ki predstavljajo delovanje spletnega (IIS) strežnika in posredovanja spletnih strani,

• storitev integriran imenik, ki omogoča omrežni vstop, centralno administracijo in integracijo aplikacij.

2.3 PREDSTAVITEV NT DIRECTORY SERVICE (NTDS) -

STORITEV IMENIK Storitev NTDS oziroma storitev imenik je strežniška tehnologija, ki je namenjena enostavni uporabi in administraciji računalnikov, omrežnih virov ter uporabnikov v računalniškem omrežju informacijskega sistema podjetja. Temelji na varni in zanesljivi računalniški arhitekturi, ki omogoča naslednje storitve:

• Imeniška podatkovna baza je temelj varne baze, ki vsebuje uporabniške račune, gesla, dostopne pravice in informacije o organizacijsko-informacijski strukturi.

• Replikacija, ki zagotavlja uporabnikom in domenskim administratorjem lokalno neodvisen dostop do omrežnih virov in storitev. Ta dostop se zagotovi s kopiranjem uporabniških informacij o virih oziroma z avtomatično replikacijo NTDS imenske baze na različne lokacije in z različnimi nameni, kot so uspešno arhiviranje podatkov, večanje zanesljivosti in hitrosti delovanja sistema ter zmanjšanje mrežnega prometa. Rezultat tega je, da je uporabnikova avtentikacija konsistentna na različnih lokacijah.

• Lokacijsko neodvisna prijava uporabnika, ki s pomočjo kombinacije uporabniškega imena in gesla omogoča uporabniku ustrezno avtentikacijo in s tem globalni dostop do omrežja in njegovih virov.

• Enkratna omrežna prijava za omrežne aplikacije omogoča s pomočjo avtentikacije uporabnika dostop do posameznih aplikacij, podatkovnih baz, komunikacij in ostalih mrežnih storitev, ki so dovoljene prek te avtentikacije.

• Lokacijsko neodvisna administracija omogoča mrežnemu administratorju lokacijsko neodvisno upravljanje mrežnega sistema in tako uporabo imenika za oblikovanje novih uporabnikov, dodeljevanje pravic uporabnikom za dostop do mrežnih virov ter spreminjanja le-teh.

• Integracija s heterogenimi sistemi, ki omogoča dostop do omrežij NetWare in sistemov, temelječih na UNIX-u, kar pomeni, da uporabniki nemoteno in neopazno uporabljajo storitve tudi v drugih sistemih. Integracija interneta in UNIX-storitev z omrežji, temelječimi na Windows NT, je preprosta in transparentna z uporabo imenskega strežnika (DNS-a).

• Visok menedžment virov, servisov in aplikacij, ki omogoča varen dostop do vseh informacij, naprav ter storitev, ki jih kontrolira strežnik Windows NT 4.0 Server.

Strežnik Windows NT 4.0 Server temelji na konfiguraciji in uporabi domen. Te so logične skupine računalnikov, ki so nadzorovane in upravljane kot samostojne enote. Slednje so sestavni gradniki imenika oziroma njegovih storitev. Z uporabo domen lahko administratorji ustvarijo posamezen uporabniški račun, ki vsebuje ključne informacije o uporabniku, njegovem članstvu skupine in vsebino varnostne politike, ki obsega informacije o njegovih dostopnih pravicah itd. Ta uporabniški račun velja v celotni domeni in se s pomočjo replikacije po njej tudi razširi. Tako se



lahko uporabnik prijavi v domeno ne glede na njegovo lokacijo in ima s tem prek varnostne politike dostop do posameznih mrežnih virov oziroma datotek, strežnikov, tiskalnikov itd. 2.3.1 Uporaba storitve imenik Temeljni in najpogostejši korak v domeni je ustvarjanje uporabniškega imena in njegova poznejša uporaba. S tem v domeni definiramo uporabnika in njegove pripadajoče informacije. Uporabniško ime vsebuje uporabnikovo varnostno politiko, dostopne pravice do omrežnih virov, članstvo skupine, razpoložljiv vstopni čas v domeno in ostale relevantne informacije o dostopu. Uporabnik z uporabniškim imenom in njegovim osebnim geslom prek avtentikacijskega mehanizma vstopi v domeno in si s tem pridobi pravice, ki so navedene v varnostni politiki. Vstopni proces je lokacijsko neodvisen in omogoča prijavo uporabnika kjer koli. Uporabniku za delo v domeni zadostuje enkratna prijava, kar pomeni, da se mu ni treba prijaviti na posamezni strežnik, kjer želi dostopiti do podatkov, temveč lahko dostopa do katerega koli strežnika, ki je član domene ali je član druge domene, ki ima vzpostavljeno zaupanje s to domeno. Drugi najpomembnejši objekt v domeni pa je računalnik in njegova domenska vloga. Z oblikovanjem njegovih lastnosti se določita delovanje in uporaba.

Slika 3: Nadzornik uporabnikov

Uporabniku omogoča vstop v domeno tudi uporabo aplikacij, ki so integrirane v domensko okolje in vzporedno sodelujejo pri različnih storitvah. Ena izmed teh aplikacij je paket programov BackOffice, ki učinkovito izkoristi prednosti, ki jih nudi storitev imenik, predvsem centralna administracija in enkratna prijava v omrežje. Ko administrator naredi uporabniški račun, lahko naredi tudi enoten uporabniški račun na poštnem strežniku, kar omogoči uporabniku ne le dostop do omrežja, temveč tudi dostop do elektronske pošte in podatkovnih baz.



Storitev imenik omogoča upravljanje več kot 25.000 uporabnikov v eni domeni ali pa več domen naenkrat, ki so lahko vodene prek posamezne poslovne enote. S kombinacijo več domen praktično ni zgornje meje nadziranja števila uporabnikov. Hkrati se lahko domenski administrator odloči za dodeljevanje administracije uporabnikov in virov posameznim vodjem poslovnih enot, ki tako postanejo administratorji svojih domen. Vse je odvisno od politike glavnega oddelka interne informatike oziroma od centraliziranosti ali decentraliziranosti poslovanja. Na tak način se lahko ustvari imenik, ki ustreza dejanskemu delovanju organizacije in pripomore k transparentnosti pri vsakodnevnem delu. Temeljni aplikaciji za nadzorovanje in delo z domeno oziroma s storitvijo imenik sta nadzornik uporabnikov (user manager) in nadzornik strežnikov (server manager). Oba nudita celovit pregled nad delovanjem domene in njunih uporabnikov ter računalnikov. Na sliki 3 je prikazan grafični vmesnik nadzornika uporabnikov, kjer so predstavljeni uporabniški računi, pripadajoči uporabniki in opisi namembnosti, poleg tega pa tudi posamezne uporabniške skupine in opisi njihovih lastnosti. S klikom na posamezni uporabniški račun dobimo podrobne podatke, ki nam prikažejo različne informacije o uporabniku, nastavitvene možnosti spreminjanja gesel in zaklepanja uporabniškega računa (slika 4). Poleg tega nam s pritiskom na posamezne povezave omogoča tudi spreminjanje ostalih lastnosti, ki so opisane v nadaljevanju.

Slika 4: Lastnosti uporabnika

S povezavo na skupine (Groups) dobimo, kot je razvidno s slike 5, okno s podatki o članstvu skupine, ki ji uporabnik pripada, in s tem tudi pridobljene določene



domenske pravice. Hkrati sta prikazani uporabnikova primarna skupina in možnost dodajanja ali odstranjevanja članstva. Skupine se uporabljajo pri določanju dostopnih pravic do datotek in map ter načinov dela z njimi. Način dela je določen z njihovim dostopanjem oziroma branjem ter pisanjem.

Slika 5: Članstvo skupin

Naslednja slika nam prikazuje pot uporabniškega profila oziroma mesto hranitve na strežniku ter morebitna prijavna skripta, ki se zažene pri prijavi uporabnika v domeno.

Slika 6: Uporabniški profil

Ta skripta se uporablja v različne namene in je zelo uporabna. V našem podjetju jih uporabljamo za mapiranje določenih pogonov, ki nam naredijo bližnjice do posameznih map v skupni rabi. Lahko pa jih uporabimo za nastavitev točnega časa, ki je sinhroniziran z domenskim strežnikom, za prikazovanje bližnjic na uporabniškem namizju, za nastavitev posameznih lastnosti uporabniškega profila in



še marsikaj. Poleg tega so prikazane še nastavitve za domačo mapo, in sicer lokalno pot ter mapiranje te mape. Na sliki 7 je prikazano okno, kjer sta določena prijava in delo na vseh ali posameznih delovnih postajah. To je izredno pomembno za vzdrževanje delne varnosti v računalniškem omrežju, saj lahko s to funkcijo omogočimo delo uporabnikom na točno določenih računalnikih.

Slika 7: Prijava na delovne postaje

Poleg prijave na delovne postaje je za varnost poskrbljeno tudi s časom prijave v domeno, s katerim onemogočimo delo zunaj delovnega časa oziroma časa, ki ne ustreza našim pogojem dela (slika 8).

Slika 8: Prijava v določenem času

Uporabniku je ob nastopu časa, ki prepoveduje delo v domeni, v tistem trenutku onemogočeno dostopanje do vseh mrežnih virov in ostalih aplikacij.



Okno na sliki 9 nam omogoča določitev datuma poteka uporabniškega računa in spreminjanje njegovega tipa v globalni ali pa lokalni račun. Globalni se uporablja za navadne uporabniške račune naše domene, lokalni pa za uporabnike iz domen, ki nimajo vzpostavljenega zaupanja z našo domeno. To pomeni, da tem domenam ne zaupamo in s tem ne dovolimo prijave in dela v naši domeni.

Slika 9: Informacije o uporabniškem računu

Slika 11 prikazuje okno, v katerem določimo pravice uporabnika za uporabo modemske povezave z našo domeno.

Slika 10: Modemska povezava

Varnostna politika uporabniških računov je izredno pomembna, saj nam določa nivo varnosti v domeni z vidika ustvarjanja in uporabe gesel. Predstavljena je na sliki 10, kjer so razvidne posamezne nastavitve, in sicer čas poteka gesel oziroma čas, v katerem lahko uporabnik spremeni svoje geslo, minimalni čas do spreminjanja gesel, najmanjše število uporabljenih znakov ter število gesel, ki se ne smejo



ponoviti pri menjavi. Poleg tega nudi tudi nastavitev možnosti pri prijavi z napačnim geslom. Tu lahko nastavimo, da se uporabniški račun zaklene po določenem številu neuspešnih prijav, po brisanju števila teh prijav, po uspešni prijavi po določnem času, onemogočanju prijave v primeru uporabe napačnega gesla in ponovna možna uporaba le-tega po posredovanju domenskega administratorja ter neodvisni prekinitvi dela uporabnika na strežniku v času, ki ni določen za delo v domeni.

Slika 11: Varnostna politika uporabniških računov

Poleg varnostne politike uporabniških računov je na voljo tudi varnostna politika pravic uporabnikom ali posameznim skupinam do spreminjanja osnovnih parametrov v domeni, kot so dodeljevanje novega računalnika v domeno, arhiviranje datotek in map, spreminjanje sistemskega časa, dostope do mrežnih računalnikov itd. To je prikazano na sliki 12.



Slika 12: Varnostna politika pravic uporabnikov

Za uspešno odkrivanje morebitnih vdorov v sistem in učinkovit pregled različnih dogodkov, ki se izvajajo v domeni, se uporabljajo nastavitve v oknu na sliki 13, ki omogočajo beleženje domenskih prijav in odjav uporabnikov, dostope do objektov in datotek, uporabo uporabniških pravic, nadzorovanje uporabnikov in skupin, spremembo varnostnih politik, ugašanje in zaganjanje delovnih postaj ter spremljanje procesov.

Slika 13: Politika beleženja dogodkov

Druga najpomembnejša aplikacija za delo z domeno in domenskimi računalniki je nadzornik strežnikov (server manager) na sliki 14. Uporablja se za nadzor in določanje lastnosti uporabe računalnikov, ki so člani domene. Temno obarvani znaki računalnikov pomenijo aktivne, svetlo obarvani pa neaktivne računalnike. Razviden je tudi tip nameščenega operacijskega sistema in njegov opis.



Slika 14: Nadzornik strežnikov

Z dvoklikom na znak računalnika dobimo okno (slika 15), kjer so prikazane lastnosti uporabe, ki vsebujejo število odprtih in zaprtih datotek ter trenutnih aktivnih sej. Poleg tega imamo na izbiro tudi dostop do informacij o prijavljenih uporabnikih, virov datotek v skupni rabi, trenutno odprtih virov, status replikacij map in namestitev pošiljanja opozoril.

Slika 15: Lastnosti strežnika ali delovne postaje

Slika 16 prikazuje uporabnikove seje na izbranem računalniku, in sicer kateri uporabnik in iz katerega računalnika je prijavljen, število odprtih datotek, čas ter ali je gost ali ne. Podana je tudi možnost prekinitve uporabnikove seje.



Slika 16: Seje uporabnika

Informacija o virih v skupni rabi je prikazana na sliki 17, kjer so podatki o imenu mape v skupni rabi, število uporabnikov, ki dostopajo do te mape, in pa pot do te mape. Hkrati sta razvidna podatek o prijavljenemu uporabniku in čas njegovega dostopanja do te mape.

Slika 17: Viri v skupni rabi

Podobno informacijo dobimo v oknu, ki je prikazano na sliki 18, kjer pa so prikazane vse odprte in zaklenjene mape v skupni rabi ter podatek uporabnika, ki uporablja ta vir na točno določen način dostopanja. Le-ta je lahko za branje ali pa za pisanje. Pri obeh imamo možnost prekinitve dostopa vseh ali posameznega uporabnika.



Slika 18: Odprti viri v skupni rabi

Slika 19 prikazuje replikacijo uvoznih in izvoznih map na določenem računalniku, kjer lahko nastavimo medsebojno sinhronizacijo med posameznimi računalniki. Ta replikacija je izredno pomembna, saj omogoča repliciranje prijavnih skript med domenskimi kontrolerji. Hkrati je prikazana pot nahajanja posebne mape, ki služi za hranjenje prijavnih skript.

Slika 19: Replikacija na domenskem kontrolerju

Sistem za obveščanje v primeru posameznih alarmov je predstavljen na sliki 20. Administrativna opozorila se pošljejo vsem uporabnikom ali računalnikom, ki so navedeni v prijavnem polju.



Slika 20: Opozorila

2.3.2 Prednosti in slabosti storitve imenik Med vsakodnevno uporabo različnih sistemov se pokažejo njihove prednosti in slabosti. Te so opazne tudi pri storitvi imenik, ki pa z vidika enostavne uporabe in praktičnosti vsekakor učinkovito služi svojemu namenu. Če zaokrožimo vse zgoraj omenjene ugotovitve, so pozitivne lastnosti naslednje:

• enkratna prijava v domeno omogoča varen in zanesljiv dostop do mrežnih virov v okviru varnostne politike uporabniškega računa,

• centralizirana in enostavna administracija celotne domene, uporabnikov in računalnikov ter

• integracija domene s strežniškimi aplikacijami. Slabosti pa so:

• ločenost imenika za delo z domeno in z delom poštnega strežnika Exchange ter oddaljenega pristopa v smislu uporabe različnih gesel, ki se je pojavila v nekaterih primerih,

• neprimerni in številčni grafični vmesniki kljub njihovi preprostosti ter • varnostne pomanjkljivosti.

2.4 PREDSTAVITEV STREŽNIKA WINDOWS 2003 SERVER Strežnik Windows 2003 Server je naslednik strežnika Windows 2000 Server in Windows NT 4.0 Server. Je zadnji, najnovejši produkt iz programske skupine strežnikov Windows, ki v sebi združuje vso kvaliteto prejšnjih strežnikov, hkrati pa predstavlja nekatere nove rešitve. Osnovan je na najsodobnejših tehnologijah, ki temu operacijskemu sistemu omogočajo varno in zanesljivo delovanje. Storitve, ki so jih nudili prejšnji strežniški sistemi, so v tem operacijskem sistemu pomembno spremenjene, saj so podedovale vse dobre lastnosti in pridobile nove funkcionalnosti - predvsem na področju odzivnosti, zanesljivosti in učinkovitosti ter najpomembneje v tem času, varnosti. Preprostost je predstavljena v obliki čarovnikov, ki vodijo celotne postopke namestitve določenih storitev.



Microsoft je s tem programskim produktom želel omogočiti podjetjem učinkovito informacijsko strukturo, ki bi ustrezala vsem lastnostim, ki so potrebne v današnjem poslovanju in sodobnem tehnološkemu času. Strežnik Windows 2003 Server je najbolj produktivna informacijska platforma za povezovanje aplikacij, omrežij in spletnih storitev iz delovne skupine v podatkovni center. Preprosta namestitev in uporaba omogočata gradnjo varnih in zanesljivih informacijskih struktur ter omrežij za napredno komunikacijo in sodelovanje v vsakem času. Poleg že omenjenih storitev, ki jih je strežnik Windows 2003 Server podedoval od svojih predhodnikov Windows NT 4.0 Server in Windows 2000 Server, si je pridobil še nove produktivne storitve na različnih področjih. Najpomembnejše storitve so:

• Aktivni imenik – je nadgradnja storitve imenik (NTDS), ki omogoča bistveno več možnosti pri upravljanju in administraciji vseh omrežnih virov v informacijski strukturi. Odpravlja pomanjkljivosti prejšnjega sistema in omogoča nove koristne funkcije.

• Datotečna in tiskalniška storitev, ki je prilagojena zahtevam sodobnega informacijskega sistema, saj omogoča lažje, inteligentnejše in učinkovitejše dodeljevanje pravic za uporabljanje datotek in tiskalnikov iz lokalnih in oddaljenih lokacij ali celo v partnerskih podjetjih.

• Upravljavske storitve, ki omogočajo preglednejše in lažje vzdrževanje strežniškega sistema in s tem neposredno informacijskega sistema z uporabo avtomatiziranih vsakodnevnih postopkov. V te storitve se prištevajo posodabljanje računalniških sistemov v omrežju z varnostnimi in s servisnimi popravki, z različnimi čarovniki v obliki preprostih uporabniških vmesnikih, nova orodja za posamezna opravila, kot je npr. orodje za upravljanje skupinskih politik, ki izjemno izkorišča uporabno in učinkovito vodenje v aktivnem imeniku, ukazna orodja itd.

• Terminalske storitve, ki omogočajo uporabo strežnika in različnih programskih aplikacij na vseh računalniških sistemih v obliki terminalskega okna.

• Vodenje skladiščenja podatkov, ki omogoča lahko in zanesljivo upravljanje ter skrbništvo nad hranilnimi mediji, arhiviranje in restavriranje podatkov ter povezavo do omrežnih arhivov (store management).

2.5 PREDSTAVITEV STORITVE AKTIVNI IMENIK Aktivni imenik je torej pomembna in obširna nadgradnja storitve imenik (NTDS), ki je bila predstavljena v strežnikih Windows NT 4.0 Server, in je integrirana v strežnikih Windows 2000 in 2003 Server. Nadgrajuje pozitivne in odpravlja ali zmanjšuje negativne lastnosti njegovega predhodnika. Predstavlja varno in centralizirano vodenje celotnega informacijskega omrežja. V sebi vsebuje vse informacije o objektih v informacijskem omrežju ter z logično in s hierarhično strukturo organizacijskega imenika omogoča hitro in lahko iskanje tako administratorjem kakor tudi uporabnikom. Odlikuje ga izredna lahkotnost oblikovanja, nameščanja in vodenja imenika.



Slika 21: Združljivost aktivnega imenika

Na sliki 21 je prikazano, kako aktivni imenik poenostavlja različne administrativne naloge in procese, ki so v preteklosti zahtevale ločene aplikacije, strežnike in storitve. Pri načrtovanju in oblikovanju aktivnega imenika je izredno pomembno dobro razumevanje in poznavanje njegove zgradbe. Aktivni imenik je najpreprosteje opisati kot varno podatkovno bazo, ki vsebuje informacije o elementih v hierarhično logični strukturi. Temeljni elementi te strukture so objekti, organizacijske enote, domene, domenska drevesa in gozd. Najpogostejši elementi v logični strukturi so objekti, ki pripadajo določenemu objektnemu razredu in predstavljajo uporabnike ter vire, kot so računalniki in tiskalniki. Vsak objekt je unikaten, kar pomeni, da je definiran s kombinacijo posameznih atributov, ki pa ne morejo biti enaki. Tako imajo objekti določene atribute, ki ustrezajo vlogi teh objektov v informacijskem sistemu. Objektni razredi in atributi predstavljajo v aktivnem imeniku t. i. shemo. Za primer si lahko za objekt predstavljamo določenega uporabnika, ki ustreza objektnemu razredu, specifičnemu za uporabnike. Ta objekt vsebuje določene atribute, kot so ime in priimek, naziv, delovni oddelek, lokacija, in ostale pomembnejše informacije. Tak način shranjevanja informacij o objektih omogoča uporabnikom in aplikacijam



enostavno ter hitro iskanje v aktivnem imeniku na podlagi parametrov, ki ustrezajo atributom iskanega objekta.

Slika 22: Hierarhično logična struktura aktivnega imenika

Posamezni objekti se združujejo v organizacijske enote, ki služijo administrativnim namenom. Primer je lahko združevanje uporabnikov v skupine na podlagi poslovnih enot, geografske lokacije ali objektnih razredov, kar omogoča večjo preglednost in hitrejše iskanje. Prav tako omogoča uporabno funkcijo dodeljevanja pravic za nadzor nad organizacijsko enoto. Organizacijske enote se lahko združujejo v večnivojsko strukturo. S tem lahko posamezne poslovne oddelke, ki so urejeni v organizacijske enote, oblikujejo v eno samo organizacijsko enoto, ki ustreza enakemu področju dela. Vse organizacijske enote se združujejo v domene, ki so osnovne funkcionalne enote logične strukture aktivnega imenika. Omogočajo tri osnovne funkcije, in sicer opravljajo administrativno delo z objekti, pomagajo pri varnostnem nadzoru nad viri v skupni rabi in služijo kot enote za replikacijo nad objekti. Domena je zbirka administrativno določenih objektov, ki uporabljajo podatkovno bazo aktivnega imenika, varnostne politike in vzpostavljanje zaupanja z ostalimi domenami. Če želimo, da objekti, kot so uporabniki, računalniki in tiskalniki, uporabljajo enako varnostno politiko ali jih nadzoruje enak sistemski administrator, jih je treba dati v enako domeno. Hkrati to domeno uporabimo tudi v primeru, ko želimo nadzorovati varnost za domenske vire v skupni mapi. Ta varnost je definirana v različnih varnostnih politikah, ki so narejene na domenskem nivoju, kar pomeni, da veljajo le za tisto domeno, kateri so dodeljene, s čimer se zagotavlja konsistentnost varnosti. Vsi objekti v posamezni domeni so shranjeni v domenski particiji podatkovne baze aktivnega imenika, ki se prek replikacijskega mehanizma



avtomatično kopira na vse domenske kontrolerje. S tem se vzdržuje konsistentnost informacij in podatkov v domeni. Replikacija je prikazana na sliki 23.

Slika 23: Replikacija

Domene se združujejo v hierarhično strukturo, ki ji pravimo domensko drevo. Ko dodajamo novo domeno v drevo, le-ta postane t. i. otrok starševske domene ali poddomena, DNS-ime te poddomene pa je sestavljeno iz imena zgornje domene in imena poddomene. Najvišja domena v domenskem drevesu se imenuje zgornja domena, pod njo pa so poddomene. Gozdovi so sestavljeni iz enega ali več domenskih dreves, pri čemer prva domena zavzema najvišji nivo v gozdu in mu hkrati določa njegovo ime. Izmenjava podatkov poteka v okviru gozda, kar pomeni, da gozd predstavlja varnostno celico za vse informacije v aktivnem imeniku. 2.5.1 Uporaba aktivnega imenika Za nadzorovanje in upravljanje domene oziroma aktivnega imenika se uporabljajo naslednje aplikacije:

• domene in zaupanja aktivnega imenika (Active Directory Domains and Trusts),

• kraji in storitve aktivnega imenika (Active Directory Sites and Services) in • uporabniki in računalniki aktivnega imenika (Active Directory Users and

Computers). Ker se pri vsakdanjem delu z domeno oziroma aktivnim imenikom ukvarjamo predvsem z dodajanjem novih uporabnikov in računalnikov ali njihovim modificiranjem, se zato najbolj pogosto uporablja aplikacija uporabniki in računalniki aktivnega imenika. Po vsebini in namenu uporabe ustreza obema aplikacijama, nadzorniku uporabnikov in nadzorniku strežnikov iz storitve imenik. Glede na obe omenjeni predhodni aplikaciji je preglednejša, smiselno urejena in bolj praktična. Vse informacije so večinoma razvidne v enem in ne v več oknih, kot je bilo v starejšem sistemu, hkrati pa so razširjene in dodane številne nove funkcije in



lastnosti. Razdeljena je na dva dela, pri čemer levi del vsebuje hierarhično strukturo objektov, desni pa prikazuje vsebino teh objektov in njihove lastnosti ali pa same podobjekte (slika 24). Hierarhična struktura je v osnovi zelo podobna logični strukturi. Oblikovana je večnivojsko, pri čemer je zgornji oziroma prvi nivo domena s svojim imenom. Vsebuje nekatere statične vgrajene enote, ki so permanentne in neizbrisljive ter že vsebujejo določene objekte. Te enote so:

• enota z imenom vgrajeno, ki vsebuje lokalne domenske varnostne skupine uporabnikov,

• enota računalniki, ki vsebuje vse dodane računalnike v domeno, • enota domenski kontrolerji, ki vsebuje vse strežnike z vlogo upravljanja in

nadzorovanja domene oziroma aktivnega imenika, • enota zunanje varnostne informacije, ki vsebuje t. i, SID-e ali varnostne

identifikatorje, ki so v povezavi z objekti iz zunanje domene, s katero imamo vzpostavljeno zaupanje in

• enota uporabniki, kjer so shranjeni vsi uporabniški računi in njihove lastnosti.

Slika 24: Uporabniki in računalniki aktivnega imenika

V nadaljevanju bodo predstavljeni le najbolj osnovni deli aplikacije, saj je možnosti res izredno veliko, nekaj od teh pa je bilo predstavljenih že na začetku. Tako so ti izbrani osnovni deli lastnosti uporabnika, lastnosti računalnika, skupine in skupinske varnostne politike.



Lastnosti uporabnika in njegovega uporabniškega računa so prikazane na sliki 25. Predstavljeno grafično okno nudi številne možnosti, ki so razporejene na različnih kazalcih tega okna. Združene so po skupinah, ki predstavljajo vsebinsko enako področje. Nastavimo lahko vse lastnosti, ki so značilne za uporabnika in ki natančno določajo njegovo vlogo in obnašanje v domeni.

Slika 25: Lastnosti uporabniškega računa

Domenski administrator pri ustvarjanju novega uporabnika vpiše informacije o uporabniku v uporabniški račun in določi posamezne lastnosti, kot je poštni predal na poštnem strežniku, poštne naslove, distribucijske liste, uporabo omrežnih aplikacij, članstvo določenih varnostnih skupin, s katerimi se določi dostope do datotek in podatkovnih baz itd. Tak uporabniški račun v trenutku postane član skupine domenskih uporabnikov, lahko pa se mu to članstvo tudi spremeni, kar pomeni, da si z novim članstvom pridobi tudi varnostne pravice in dostope, ki veljajo le za to skupino uporabnikov. Z uporabo teh povezav med uporabniškim računom, poštnim predalom in aplikacijami aktivni imenik poenostavi dodajanje, spreminjanje in brisanje uporabniških računov. V primeru, da uporabnik spremeni delovno mesto, lahko to spremembo hitro in učinkovito vpišemo v aktivni imenik s spremembo lastnosti, lahko s spremembo članstva skupine, kar uporabniku v trenutku spremeni pravice, ki so vezane na to skupino. To velja za celotno organizacijo in uporabnik nima več



možnosti delovati s pravicami, ki jih je imel prej. Aplikacije, ki jih je uporabljal na starem delovnem mestu, zanj postanejo nedostopne. Podobno je tudi pri lastnostih računalniškega računa (slika 26), ki ima določene lastnosti tipične za računalnike. Osnovne lastnosti so DNS-ime, vloga računalnika, nameščen operacijski sistem, lokacija nahajanja, podatki o osebi, ki skrbi za njegovo delovanje, različna članstva, privzeti RIS strežnik (remote installation services), ki omogoča ponovno naložitev operacijskega sistema itd. Tako računalnike kot uporabnike lahko premikamo iz ene v drugo organizacijsko enoto.

Slika 26: Lastnosti računalniškega računa

Skupine so objekti, ki združujejo uporabnike, računalnike ali pa več skupin hkrati, in so namenjeni za poenostavitev administracije. Za skupine (slika 27) sta značilna dva parametra, tip in vrsta. Skupine so lahko lokalne, globalne ali univerzalne ter varnostne in distribucijske. Varnostne so tiste, s katerimi določamo pravice za dostopanje in uporabo virov v skupni rabi, distribucijske pa so skupine, ki se uporabljajo za ustvarjanje distribucijskih seznamov elektronskih naslovov. Ne glede na to, ali je skupina varnostna ali distribucijska, je določena z vrsto, s katero si pridobi pripadnost določeni lastnosti v domeni. Univerzalne skupine lahko vsebujejo ostale skupine ali račune iz katere koli domene v domenskem drevesu ali gozdu in imajo pravice v kateri koli domeni v domenskem drevesu ali gozdu. Globalne skupine vsebujejo le skupine in račune iz domene, kjer je ta skupina definirana, pravice pa ima v vsaki domeni v gozdu. Lokalna skupina pa vsebuje skupine in račune iz strežnikov Windows 2000 in 2003 Server ter NT4 domene in ima pravice le v okviru same domene.



Slika 27: Lastnosti skupin

Skupinska varnostna politika je zbirka nastavitev, s katerimi določimo obnašanje, način dela in pravice računalnika ali uporabnika.

Slika 28: Nadzornik skupinskih politik



Te nastavitve so zelo različne in izjemno uporabne ter omogočajo številne možnosti, kot so oblikovanje uporabniškega delovnega namizja, omejevanje uporabnika z odstranjevanjem določenih aplikacij, ikon, vklop ohranjevalnika zaslona, način delovanja protipožarnega zidu v delovnih postajah Windows XP, zagon prijavnih in odjavnih skript, itd. (slika 28). Vsaka domena ima že vgrajeno domensko politiko, ki jo lahko spreminjamo, hkrati pa dodajamo nove. Dedovanje nastavitev, določenih v skupinski politiki, je urejeno po vrstnem redu, kar pomeni, da se najprej uveljavijo nastavitve skupinske varnostne politike organizacijske enote, na katero je pripeta, šele nato ostale politike, nazadnje domenska. Pri tem imamo možnost izključevanja ali vključevanja posameznih politik ter določanje njihovih prioritet. 2.5.2 Prednosti aktivnega imenika Glede na predhodnika ima storitev aktivni imenik številčne posodobitve in s tem prednosti. Naj omenimo le nekatere pomembnejše:

• številne možnosti pri oblikovanju aktivnega imenika in delu z njim, • boljši nadzor, • večja varnost in zanesljivost, • hitro iskanje informacij, • večja preglednost nad delovanjem domene ne glede na geografsko

oddaljenost, • možnost preimenovanja domene, kar je lahko posledica menjave lastniške

strukture podjetja ali poslovne združitve, • pripravljenost na obširne spremembe pri razširitvi podjetja in informacijske

strukture, • hitro restavriranje v primeru odpovedi.



3 POSODOBITEV IN MIGRACIJA IZ NT4 DOMENE V AKTIVNI IMENIK

Prihod novih tehnologij prinaša številčne prednosti, hkrati pa veliko dela pri posodobitvah ali migraciji na nove sisteme. Če želijo podjetja slediti tehnološkim trendom in času, morajo veliko vlagati v razvoj svojih informacijskih sistemov. V nadaljevanju bodo opisani razlogi za posodobitev in posamezni teoretični načini, ki omogočijo prehod iz starega na novi sistem. 3.1 RAZLOGI ZA POSODOBITEV Vsekakor nam slabosti imenika in prednosti aktivnega imenika ponujajo odgovor in potrditev na razloge za izvajanje posodobitve. Kljub temu stari sistem še vedno deluje in služi svojemu namenu, čeprav brez možnosti in prednosti, ki jih ponuja novi. Vendar pa se je sedaj pojavil ključni razlog, ki je zelo pomemben. In ta je, da je podjetje Microsoft z začetkom leta 2005 opustilo tehnično podporo za strežnik Windows NT 4.0 Server in se s tem odpovedalo proizvajanju varnostnih popravkov, ki so v sedanjem času zelo pomembni in kritični za nemoteno delovanje informacijskega sistema. In to je poglavitni razlog, ki zahteva takojšnje ukrepanje in začetek priprav na posodobitev omenjenega sistema. 3.2 TEORETIČNI NAČINI PREHODA IZ NT4 DOMENE V

AKTIVNI IMENIK Posodobitev je tehnično težko izvedljiv projekt, ki se ga je treba lotiti zelo preudarno. Vsekakor je treba predvideti in proučiti težave, ki se lahko pri posodobitvi pokažejo, ter se nanje tudi ustrezno odzvati oziroma jih odpraviti. V obstoječi literaturi obstajajo trije načini za uspešen prehod iz NT4 domene v aktivni imenik, in sicer:

• posodobitev NT4 domene v strežnik Windows 2003 Server in s tem v aktivni imenik,

• migracija, prehod na t. i. »čisto« oziroma novo Windows 2003 domeno oz. aktivni imenik,

• obstoječe sodelovanje obeh strežnikov, Windows NT4 Server in Windows 2003 Server.

Vsi ti našteti načini so primerni za uporabo v različnih razmerah v informacijski strukturi. Vsak zahteva natančen opis trenutnega dejanskega stanja, ustreznost prehoda in spremljajočo problematiko ter opis stanja po prehodu. Tu se moramo opreti tako na zahteve strojne opreme kakor tudi na zahteve informacijsko delovne vloge. Najbolj pogosti odločitvi sta posodobitev oziroma nadgradnja strežnika Windows NT 4.0 Server v Windows 2003 Server in migracija na Windows 2003 Server, saj poleg



zanesljivosti nudita tudi transparentnosti delovanja in načina dela strežnika. Taka prehoda sta hitra in ponavadi tudi najmanj problematična, vendar pa vsak s seboj prinese tudi nekatere manj dobre lastnosti. Pri tem ne bomo opisali zadnjega načina prehoda, to je obstoječe sodelovanje obeh strežnikov, saj se ta način izvaja le v redkih trenutkih, in sicer pogostokrat v primerih, ko se zaradi narave informacijske organizacije podjetja zahtevata počasen prehod in postopno izvajanje opravil. In pravzaprav je to le vmesna faza pri prvem načinu migracije. V nadaljevanju bomo predstavili teoretični del, ki bo pozneje služil kot opora in vodilo pri praktičnem izvajanju prehoda. 3.2.1 Posodobitev NT4 domene v aktivni imenik Ta način je primeren za nadgradnjo ene NT4 domene v eno domeno aktivnega imenika in hkrati omogoča ohranitev vseh nameščenih programov, parametrov delovanja in načina dela strežnika. Zahteva ustrezno strojno opremo, ki nudi hitro in zanesljivo delovanje strežnika Windows 2003 Server. Posodobitev lahko izvajamo na starem strežniku, kjer je nameščen Windows NT 4.0 Server, ali pa na novem računalniku, na katerega namestimo Windows NT 4.0 Server, ki mu dodelimo vlogo primarnega domenskega kontrolerja. Poleg tega je posodobitev primerna za informacijska okolja, kjer imajo vsi računalniki nameščeno ustrezno programsko opremo oziroma operacijski sistem, ki je združljiv z novim sistemom. Posodobitev NT4 domene v domeno aktivnega imenika je treba izvesti v naslednjih temeljnih korakih:

• pregled in izvedba prednamestitvenih postopkov in nalog, • posodobitev glavnega domenskega kontrolerja, • posodobitev ostalih pomožnih domenskih kontrolorjev in • dokončanje ponamestitvenih postopkov in opravil.

Preden se lotimo omenjenih korakov, moramo biti pazljivi na nekatere splošne omejitve, ki se pojavijo pri procesu posodobitve. Te omejitve je treba proučiti in določiti čas, ki bo najbolj primeren za izvedbo posodobitve in bo hkrati imel najmanjši vpliv na vsakodnevno delo v organizaciji. Pri posodobitvenem postopku je primaren domenski kontroler v posameznih fazah posodobitve v stanju, ki ustreza statusu neprisotnosti v računalniškem omrežju. To pomeni, da v tem času ostali računalniki in uporabniki ne morejo dostopiti tako do njegovih storitev kakor tudi njegovih omrežnih virov. Vse ostale pomožne funkcije prevzamejo pomožni domenski kontrolerji, vendar v omejenem načinu. To se nazorno prikaže v primeru, ko uporabnik, ki sicer lahko dostopa v omrežje ter do razpoložljivih omrežnih virov, ne more na primer spreminjati gesla, administratorji pa ne morejo dodajati ali spreminjati novih uporabnikov, računalnikov itd. Tako storitve, ki omogočajo prijavo v domeno, pregled dostopnih pravic in vse ostale pomembne dogodke v domeni, sedaj delujejo na pomožnih domenskih kontrolerjih. Vsi administrativni programi, ki omogočajo delo v domeni, delujejo v bralnem načinu, kar pomeni, da lahko samo



pregledujejo podatke, ne morejo pa pisati in s tem spreminjati ali dodajati novih podatkov. Združljivost storitev novega in starega sistema mora biti zagotovljena s tem, da omogočimo njihovo normalno delovanje, kar lahko zagotovimo z določanjem ustreznih pravic lokalnim sistemskim uporabnikom. To naredimo po končani posodobitvi in pri nameščanju aktivnega imenika ročno z ukazom net localgroup ali pa z določitvijo ustreznega načina. Za pravilno delovanje aktivnega imenika in seveda celotne informacijske strukture je izredno pomembno zagotoviti pravilno delovanje storitve DNS in DHCP. Najpogostejši vzroki nepravilnega delovanje ali celo odpovedi domenskega okolja so posledice nepravilnega delovanja storitve DNS, zato je zelo pomembna njegova pravilna namestitev in konfiguracija. Pomembnejša naloga je tudi avtorizacija storitve DHCP, ki omogoča dodeljevanje IP-naslovov in ostalih pomembnih mrežnih podatkov. Nekatere strežniške varnostne politike je treba izklopiti, da se zagotovi pravilna komunikacija in avtentikacija med domenskimi kontrolerji s strežnikom Windows 2003 Server in prejšnjimi verzijami Windowsov. Minimalne zahteve so Windows NT 4.0 Server s servisnim paketom verzije 3 in Windows 98. Ostali ne bodo zmožni komunikacije in jih je treba posodobiti ali pa, kot že omenjeno, spremeniti varnostno politiko. Tu gre za spremembo SMB-paketnega prijavljanja, ki predstavlja varnostni mehanizem, z namenom varovanja podatkov pri komunikaciji računalnika s strežnikom. Podobno je tudi pri šifriranju in pri prijavi prek varnostnega kanala. Ko postane računalnik član domene, se pri tem naredi računalniški račun. Pri vsakokratni prijavi v domeno se uporabijo podatki o tem računu (geslo, uporabniško ime) za izdelavo varnostnega kanala, prek katerega teče varna izmenjava podatkov s članom domene in z domenskim kontrolerjem. Tu je omejitev Windows NT 4.0 Server s servisnim paketom 3. Enako kot zgoraj je tudi tukaj potrebna nadgradnja ali pa, kar je nepriporočljivo, sprememba varnostne politike in s tem odklop storitve prijave prek varnostnega kanala ali šifriranja. Pregled in izvedba prednamestitvenih postopkov in nalog V tem koraku je treba izvesti nekatere postopke in naloge, ki so potrebni za nemoten začetek izvajanja procesa posodobitve. Ti postopki in naloge so:

• sprememba lokacije replikacijske storitve (LMRepl), • migracija storitve oddaljeni dostop, • pregled in priprave za posodobitev tiskalniške in datotečne storitve in • onemogočiti procese v NT4 domeni.

Storitev sprememba lokacije replikacijske storitve (LMRepl) se uporablja za replikacijo datotek med domenskimi kontrolerji, kot so prijavna skripta, varnostne politike, domenski podatki itd. Za ohranitev tega procesa v času izvajanja posodobitve z datotekami, ki so v mapi NETLOGON, je treba posodobiti tudi vse



ostale strežnike, ki izvajajo to replikacijo. V primeru, da je primarni domenski kontroler nosilec te replikacije, ga lahko promoviramo v pomožnega, vzporedno s tem pa postavimo pomožni domenski kontroler, ki ga promoviramo v primarnega. S tem dosežemo, da se replikacija izvaja na pomožnem domenskem kontrolerju, ki postane nosilec replikacijske storitve ter zagotavlja nemoteno izvajanja le-teh v fazi posodabljanja primarnega domenskega kontrolerja. Za migracijo storitve oddaljeni dostop velja, da če sta storitvi oddaljeni dostop (RAS) in usmerjeno oddaljeni dostop (RRAS) aktivni na primarnem domenskem kontrolerju, ju je treba zaradi transparentnega delovanja prestaviti na pomožni domenski kontroler. Ta postopek migracije spremlja tudi natančna dokumentacija obeh storitev. Pri pregledu in pripravah za posodobitev tiskalniške in datotečne storitve je najboljši način za zagotavljanje nemotenega delovanja obeh storitev postavitev strežnika Windows 2003 Server ter njuna migracija na novi strežnik. Ko nimamo te možnosti, pa je treba preveriti nekatere nastavitve dinamičnih diskov oziroma narediti arhiv celotnega diskovja na zunanje diskovno polje, nato pa vse zbrisati in po posodobitvi ponovno ustvariti diskovja ter restavrirati podatke iz arhiva. Podobno je treba storiti tudi z navideznim spominom, ki je v obliki datoteke na disku, in sicer ga je treba premakniti na primarno particijo oziroma na logični disk. Pri tiskalniški storitvi je treba s programom Fixprnsv.exe preveriti možne gonilniške težave, ki se lahko pojavijo na novem sistemu. Vsa ostala tiskalniška opravila, ki se niso izvedla in končala, ostanejo na strežniku in se izvedejo naknadno. Pri onemogočanju procesov v NT4 domeni je treba pred začetkom posodobitve primarnega domenskega kontrolerja zagotoviti zamrznitev kakršne koli spremembe do trenutka, ko je posodobitev končana. To se naredi po končani celotni replikaciji med domenskimi kontrolerji in - kar je najpomembneje - po shranitvi sinhroniziranega pomožnega domenskega kontrolerja za primer nepredvidenih dogodkov in hitrega restavriranja starega sistema. Pred začetkom je treba obvestiti tudi uporabnike informacijskega sistema. Posodobitev glavnega domenskega kontrolerja Po izvedenih zgoraj omenjenih korakih pride na vrsto glavno opravilo, in sicer posodobitev primarnega domenskega kontrolerja. Le-ta se izvaja v določenem vrstnem redu opravil:

• arhiviranje domenskih podatkov, • delegiranje nove DNS-cone v obstoječi DNS infrastrukturi, • identifikacija potencialnih težav pri posodobitvi, • posodobitev operacijskega sistema v strežnik Windows 2003 Server, • namestitev aktivnega imenika, • avtorizacija storitve DHCP, če se le-ta izvaja na primarnem domenskem

strežniku, • konfiguracija storitve Windows čas, • konfiguracija storitve DNS, • izvedba ponamestitvenih testov in



• modificiranje varnostnih politik. Arhiviranje domenskih podatkov Arhiviramo podatke, ki so temelj domeni, pri čemer naredimo več varnostnih kopij. Po arhiviranju se izvede testiranje, in sicer se restavrira arhiv in preveri kopija. Če se pri tem držimo strogih varnostnih ukrepov, je treba vsaj eno kopijo shraniti na različni in oddaljeni lokaciji. Delegiranje nove DNS-cone v obstoječi DNS infrastrukturi Pri obstoječi DNS infrastrukturi je treba preveriti vse trenutne nastavitve, omrežno shemo, hierarhično strukturo DNS-a, nastavitve con, zapise in replikacije. Za potrebe pravilne namestitve aktivnega imenika je treba določiti novo cono v strukturi DNS-a, ki je identična imenu domene aktivnega imenika. V ta namen se dodata dva nova zapisa, in sicer ime DNS strežnika (zapis tipa NS) in naslov izvornih zapisov (zapis tipa A). Identifikacija potencialnih težav pri posodobitvi Pred posodobitvijo je treba preveriti in odkriti potencialne težave, ki se lahko pojavijo, in sicer se za to uporablja programsko orodje Winnt32.exe /checkupgradeonly, ki ga poženemo v ukazni vrstici in je na namestitvenem izvoru. Vse najdene težave je treba odstraniti, preden se nadaljuje s postopkom posodobitve. Posodobitev operacijskega sistema strežnika v Windows 2003 Server Posodobitev se zažene z ukazom v orodni vrstici Winnt32.exe ali pa z vstavitvijo cedeja. Pri procesu je treba zagotoviti statični IP-naslov, formatirati izbrano namestitveno particijo v NTFS-načinu, saj je od tega odvisna uspešna namestitev aktivnega imenika, izbrati nadgradnjo kot tip namestitve, ustrezno konfigurirati mrežne nastavitve, predvsem DNS, in na koncu namestiti še uporabniška orodja Windows. Med posodobitvijo se bo sistem večkrat ponovno zagnal, po končani namestitvi pa bo zavzel vmesno stanje, kar pomeni, da ni več domenski Windows NT4 kontroler ali domenski Windows 2003 kontroler, vse do takrat, dokler ni nameščen še aktivni imenik. Namestitev aktivnega imenika Namestitev aktivnega imenika se začne z ukazom v orodni vrstici dcpromo.exe, ki požene čarovnika, ki nas vodi skozi namestitev. Namestitev ustvari podatkovno bazo aktivnega imenika, kamor premakne vse objekte in njihove lastnosti iz baze Windows NT4 SAM. Potek deluje v obliki čarovnika, katerega prvo okno vidimo na sliki 29 in s katerim v celoti namestimo aktivni imenik na posodobljenem primarnem domenskem kontrolerju Windows NT4 Server.



Slika 29: Čarovnikovo okno za namestitev aktivnega imenika

V naslednjem oknu (slika 30) določimo novo domeno v novem gozdu aktivnega imenika in tako postane naš stari primarni domenski kontroler prvi novi domenski kontroler v tej novi domeni.

Slika 30: Določitev nove domene

Nato vpišemo polno DNS ime nove domene, kot je prikazano na sliki 31 in v našem primeru bi to bilo adriatic.snt.eu.



Slika 31: Polno DNS ime nove domene

V naslednjem oknu (slika 32) določimo funkcionalni nivo novega gozda v aktivnem imeniku. Izberemo si zgornjo možnost (Windows Server 2003 interim), ki nam omogoča souporabo strežnika Windows 2003 Server in Windows NT4 domenskih kontrolerjev ter nam zagotavlja učinkovitejšo replikacijo. Ta način nam ne omogoča uporabe strežnikov Windows 2000 Server v vlogi domenskih kontrolerjev, za kar jih tudi ne bomo uporabili, saj gre tu le za prehod zgoraj omenjenih strežnikov.

Slika 32: Določitev funkcionalnega nivoja domene

Namestitev nam ponudi možnost izbire lokacije map podatkovne baze in mape za shranjevanje dnevnikov aktivnega imenika, kar je izredno pomembno, predvsem zaradi arhiviranja (slika 33). Načeloma lokacije ne spreminjamo. V primeru manjših organizacij lahko obe mapi združimo v eno, pri čemer ne vplivamo na hitrost in zanesljivost delovanja.



Slika 33: Lokacija mape podatkovne baze in mape shranjevanja logov

Hkrati je treba določiti lokacijo mape SYSVOL (slika 34), ki nam služi kot javni dostop do datotek, kot so prijavna in ostala skripta. Le-ta se replicira tudi po ostalih domenskih kontrolerjih.

Slika 34: Določitev lokacije mape SYSVOL

Naslednje okno (slika 35) nam služi za namestitev storitve DNS na naš strežnik. V oknu imamo opozorilo, ki pravi, da ni nobenega imena ali IP-naslova DNS strežnika,



s katerim se bo povezal naš domenski kontroler. To je posledica prednastavljenega zapisa, ki kaže na lokalni računalnik, na katerem pa še ni nameščena storitev DNS. Tukaj si izberemo možnost namestitve in konfiguracije storitve DNS na naš računalnik, ki naj bo tudi zaželen DNS strežnik (Install and configure the DNS server on this computer and set this computer to use this DNS server as its preferred DNS server).

Slika 35: Diagnostika DNS-a

Slika 36: Določanje združljivosti pravic



Na sliki 36 vidimo okno, kjer določamo pravice za uporabniške in skupinske objekte. Glede na to, da imamo več delujočih strežnikov Windows NT 4.0 Server, na katerih delujejo različne storitve z lokalnim sistemskim uporabniškim računom, je tu treba izbrati možnost združljivosti pravic z operacijskimi sistemi, nižjimi od strežnika Windows 2000 Server. Izberemo si možnost - Permissions compatible with pre-Windows 2000 Server operating systems. Proti koncu je treba določiti še geslo, s katerim lahko izvedemo restavriranje aktivnega imenika, kar je prikazano na sliki 37.

Slika 37: Določanje gesla za delo v načinu restavriranja aktivnega imenika

Zaključek namestitve se konča z oknom na sliki 38, kjer vidimo, da je bila namestitev uspešna in da je domenski kontroler aktivnega imenika narejen v privzetem mestu (Default-First-Site-Name). Organizacije, ki imajo samo eno fizično lokacijo, ne potrebujejo sprememb tega mesta, drugače pa je treba določiti mesta, ki vsebujejo določene domenske kontrolerje. S tem je namestitev aktivnega imenika končana. Za potrditev pravilnega delovanja je treba izvesti še nekatere ponamestitvene teste, ki preverijo pravilnost in ustreznost delovanja aktivnega imenika.



Slika 38: Končno okno namestitve aktivnega imenika

Avtorizacija storitve DHCP, če se le-ta izvaja na primarnem domenskem kontrolerju Če je na primarnem domenskem kontrolerju prej delovala storitev DHCP, je treba to storitev tudi avtorizirati, da lahko preide v fazo normalnega delovanja. Po avtorizaciji bo ponovno dodeljevala IP-naslove in ostale podatke. Konfiguracija storitve čas - Windows time Izredno pomembna naloga je določitev pravilnosti in konsistence časa v domeni. Od nje je odvisna velika večina operacij in nalog v domeni. Pri vseh domenskih računalnikih se ob prijavi v domeno preveri časovna komponenta, ki ne sme odstopati za več kot 15 minut. Pri tem se izvede tudi sinhronizacija časa, in sicer z domenskim kontrolerjem, na katerem je nameščena ta storitev. Priporočljivo je to nastaviti na prvem domenskem kontrolerju, pri čemer je prvi korak sinhronizacija s preverjenim in verodostojnim časovnim strežnikom prek NTP-protokola (Network time protokol). Če se ta postopek ne izvede, se uporabi lokalni čas pri sinhronizaciji med računalniki. V primeru, da se prvi domenski kontroler odstrani iz domene, je treba postopek izvesti na drugem domenskem kontrolerju. Ta postopek se izvede z izvedbo ukaza w32tm /config /manualpeerlist:peers /syncfromflags:manual v ukazni vrstici. Peers je lista DNS-ov ali IP-naslovov. Nato je treba izvesti še ukaz w32tm /config /update ter zaustaviti in ponovno pognati storitev z ukazoma net stop w32time in net start w32time.



Konfiguracija storitve DNS V domeni z enim samim gozdom je treba na domenskem kontrolerju, ki nudi storitve DNS, omogočiti staranja in čiščenja, da bi avtomatično odstranili že uporabljene stare zapise virov, ki se sčasoma naberejo v podatkovni bazi. Ko se računalnik prijavi v omrežje, se prek dinamičnega vpisa zapisi virov dodajo v cono, kjer pa se v določenih pogojih kljub poznejši odjavi računalnika iz omrežja ti zapisi ne pobrišejo. To pomeni, da ti zapisi (tipa A) ostanejo in lahko povzročajo nepravilno delovanje storitve oziroma zmedo v omrežju. To se dogaja predvsem v organizacijah, kjer ima veliko število uporabnikov prenosne računalnike, med katere spada tudi naše podjetje. Če se ne ukrepa, so posledice vidne v večanju podatkovne baze in s tem seveda zmanjševanje prostora na trdem disku, v nepravilnem posredovanju informacij klientom, kar se odraža v napačnem reševanju, iskanju in poizvedovanju imenov ter zmanjševanju odzivnosti in performačnih značilnostih strežnika. Ta možnost je privzeto onemogočena, saj se lahko zaradi slabega razumevanje te funkcije pojavijo bistveno večji problemi kot brez nje. Funkcijo se vključi na dveh domenskih kontrolerjih za točno določeno cono v DNS strežniku z določitvijo ustreznih parametrov. Izvedba ponamestitvenih testov Po namestitvi aktivnega imenika je treba preveriti uspešnost namestitve. Tu je izredno pomemben pregled dnevnika dogodkov, predvsem njegovih neuspešnih dogodkov ter iskanje informacij in odpravljanje napak. Naslednji korak je izvedba vseh nalog in postopkov, ki smo si jih zadali v planu izvajanja po namestitvi aktivnega imenika. Tu lahko gre za preprosta preverjanja v smislu dodajanja novega objekta v aktivni imenik ali pa spreminjanje lastnosti že obstoječim objektom. Modificiranje varnostnih politik Kot je bilo že omenjeno, je za dostop računalnikov, ki imajo nameščene starejše verzije operacijskega sistema Windows, do omrežnih virov, ki so člani domene, treba spremeniti varnostne politike. V skladu z visoko varnostjo strežniki Windows 2003 Server zahtevajo za avtentikacijo ter komunikacijo med klienti in njimi uporabo SMB-paketov in prijave prek varnostnega kanala. Prizadeti klienti, ki ne podpirajo uporabe SMB-paketov in se ne morejo prijaviti v domeno, imajo nameščen Windows 95 operacijski sistem brez klienta za aktivni imenik ali Windows NT 4.0 Server s servisnim paketom 2 ter manj. Klienti, ki imajo nameščen Windows NT 4.0 Server s servisnim paketom 3 in manj, ne podpirajo prijave prek varnostnega kanala in ne morejo vzpostaviti komunikacijo z domeno oziroma domenskim kontrolerjem. Najboljša in najvarnejša rešitev je nadgradnja teh klientov. V primeru, ko to ni mogoče, se spremeni privzeta domenska varnostna politika kontrolerjev, in sicer se onemogočita funkciji Microsoft network server: Digitally sign communications (always) ter Domain member: Digitally encrypt or sign secure channel data (always).



Kot je razvidno, je postopek posodobitve preprost, vendar ob predpostavki, da so izpolnjeni vsi pogoji, ki so potrebni za uspešnost akcije. Številčne in temeljite priprave so ključ do dobrega uspeha. Tu gre za uspešno posodobitev operacijskega sistema strežnika ter njegove ključne storitve aktivni imenik. Podlaga za uspešno namestitev aktivnega imenika je vsekakor uspešno zaključena posodobitev operacijskega sistema. Posodobitev dodatnih domenskih kontrolerjev Po uspešni posodobitvi primarnega domenskega kontrolerja je potrebna čimprejšnja posodobitev tudi ostalih pomožnih domenskih kontrolorjev, ki ne odstopa bistveno od opisanega postopka. Zelo pomembna pa je vzpostavitev še enega domenskega kontrolerja, ki poskrbi za stabilnejše delovanje oziroma delovanje v primeru odpovedi prvega domenskega kontrolerja, in sicer kot novo namestitev ali posodobitev enega izmed starih pomožnih domenskih kontrolerjev. Le-ta se izvede v naslednjih že znanih korakih:

• posodobitev operacijskega sistema Windows NT4 Server pomožnega domenskega kontrolerja,

• namestitev aktivnega imenika, • namestitev storitve DNS na dodaten domenski kontroler, • prekonfiguracija storitve DNS, • dodajanje Windows NT4 pomožnega domenskega kontrolerja in • izvedba namestitvenih nalog in opravil oziroma testov.

Tukaj bi se osredotočil le na izbrane postopke, saj so nekateri identični zgoraj opisanim. Namestitev aktivnega imenika je zelo podobna, le da se izvede dodajanje dodatnega domenskega kontrolerja za enako domeno z uporabo domenskega administratorskega uporabniškega računa in gesla. Za primarni DNS strežnik se doda že znan prvi domenski kontroler, na novem se lahko namesti dodatna storitev DNS. Tudi v strukturi DNS-a se izvedejo določene spremembe, in sicer gre za konfiguracijo DNS delegiranja in omogočanja staranja ter čiščenja na drugem domenskem kontrolerju. Postopek dodajanja dodatnega Windows NT4 pomožnega domenskega kontrolerja se izvede le v primeru, ko imamo aplikacijo, ki deluje le na operacijskemu sistemu Windows NT 4.0 Server. Pri tem moramo biti pozorni na omogočanje funkcije »Assign this computer account as a pre-Windows 2000 Computer in Assign this computer account as a backup domain controller«. Ne smemo pa pozabiti na storitve, ki so uporabljale lokalni sistemski račun in so se anonimno prijavljale za dostop do domenskega kontrolerja. V ukazni vrstici je treba izvesti ukaz net localgroup “Pre-Windows 2000 Compatible Access” GroupName /delete, s katerim preprečimo anonimni dostop do domenskih kontrolerjev. Ko v domeni nimamo več strežnikov Windows NT4 Server ali jih ne bomo več imeli, lahko dvignemo funkcionalni nivo domene v t. i. domač (native) način. Ko je postopek končan, ni več poti nazaj. Vendar pa imamo na voljo številne varnostne in uporabne funkcije novega okolja.



3.2.2 Migracija iz NT4 domene v aktivni imenik Migracija se uporablja v primeru, ko želimo narediti novo domeno z novim imenom in s tem t. i. čisto namestitev. Poleg strežnika Windows NT 4.0 Server se postavi strežnik Windows 2003 Server, z orodjem ADMT (Active Directory Migration Tool) oziroma migracijskim orodjem aktivnega imenika pa se preselijo vse informacije iz stare v novo domeno. Tako se preselijo uporabniški in računalniški računi, skupine, migracijska zaupanja med domenami, storitveni računi, varnostne informacije itd. Tako dobimo novo domeno z enako strukturo in vsemi nastavitvami, ki so veljale v stari domeni. Uporabniki se prijavijo v novo domeno in si pridobijo pravice, ki so jih imeli že v stari domeni. Praktično se tako spremeni le prijava, ki je sedaj prijava v novo domeno. Na sliki 39 je prikazano migracijsko orodje aktivnega imenika in možnosti, ki jih ponuja. Zaradi kompleksnosti in obširnosti naj omenim le eno, in sicer preselitev uporabniškega računa iz stare v novo domeno. Izbiramo lahko med testnim načinom ali pa dejanskim načinom migracije. Izberemo si izvorno in ciljno domeno (slika 40), uporabniški račun oziroma uporabnika, ki ga želimo migrirati (slika 41), in organizacijsko enoto, kamor se bo preselil (slika 42).

Slika 39: Migracijsko orodje aktivnega imenika



Slika 40: Izbira izvorne in ciljne domene

Slika 41: Izbira uporabnika

Slika 42: Izbira ciljne organizacijske enote



Nato si izberemo geslo uporabnika (slika 43), ki je lahko kompleksno, enako uporabniškemu imenu ali pa migracija starega gesla. Pri slednji je potrebno malce več dela, saj je treba opraviti določene naloge na obeh domenskih kontrolerjih. Je pa vsekakor priporočljivo in praktično, tako iz vidika administratorja kakor uporabnika.

Slika 43: Nastavitve gesel

Na sliki 44 je razvidno stanje uporabniškega računa v novi in stari domeni.

Slika 44: Možnosti uporabniških računov



Tu imamo več možnosti, njihova uporaba pa je odvisna od naših želja. Ponavadi se omogoči ciljni uporabniški račun, izvornega pa se nekaj časa še pusti za primer nedelovanja nove domene. Hkrati nam ponuja tudi možnost migracije SID-a, varnostnega domenskega identifikatorja, na katerega so vezane vse varnostne pravice. Zgodovina SID-a vsebuje vire pravic, ki omogočijo dostop do enakih virov. Vzporedno s tem se lahko migrirajo tudi skupine, katere član je ta uporabnik. V primeru, da se pojavijo kakršni koli konflikti in napake, se lahko odločimo za prekinitev migracije ali pa nadaljevanje in modifikacijo nekaterih nastavitev.

Slika 45: Rezultati migracije

Po končani migraciji se pojavi okno (slika 45), kjer so razvidni rezultati in uspešnost. Natančnejši podatki so razvidni iz dnevnikov, ki beležijo vse dogodke v zvezi z migracijo.



4 PRAKTIČNO DELO Ker je treba posodobitev izvesti na zanesljiv in hiter način, so vsekakor potrebna predhodna testiranja v simulacijskem okolju, ki ustreza dejanskemu stanju obstoječega informacijskega sistema. To je že ustaljena praksa, ki je uveljavljena v računalniškem svetu, kajti brez temeljitega testiranja ni podlage za uspešno delo. Ker gre za kritičen poseg v informacijsko okolje, je od tega odvisno celotno poslovanje podjetja. Na podlagi testiranja se lahko hkrati uspešno pripravimo tako na pričakovane kakor na nepričakovane odzive informacijskega sistema pri njegovi posodobitvi in smo v kritičnih primerih sposobni hitreje ter učinkoviteje ukrepati. Na tak način smo lahko pripravljeni na kratek ali celo neopazen izpad poslovanja podjetja, kar je ključnega pomena. 4.1 POSTAVITEV TESTNEGA OKOLJA Za testno okolje smo uporabili Microsoftovo programsko orodje Virtual PC, ki omogoča delovanje navideznih računalniških sistemov na enem samem računalniku. Tako smo lahko vzpostavili konkretno informacijsko okolje, ki je bilo sestavljeno iz ključnih strežniških postaj, kakor tudi nekaj testnih delovnih postaj ter tiskalniške omrežne opreme. Za to nismo potrebovali številnih računalnikov, temveč samo eno delovno postajo z ustrezno računalniško konfiguracijo, ki je temeljila na hitri procesni enoti in večjem pomnilniškem prostoru. Poleg tega smo uporabili tudi nekaj starejših računalnikov, ki so nam služili kot uporabniške delovne postaje. Finančni vložek je bil torej minimalen. Testno informacijsko okolje smo sestavili iz obeh domenskih kontrolerjev, poštnega strežnika Exchange 5.5., SAP strežnika, ki je služil samo testnim namenom, strežnika Windows 2003 Server, ki je služil kot datotečni in tiskalniški strežnik, ter nekaj delovnih postaj z omrežnim tiskalnikom. Tu je treba razložiti, zakaj smo v testno okolje dodali še ostale strežnike, ki so samo člani domene in nimajo nobene vloge v postopku posodobitve. Vzrok tiči v določenih servisih, ki delujejo na posameznih strežnikih in so odvisni od ustreznega uporabniškega računa, s katerim se prijavljajo in predstavljajo. Ker pa so to domenski uporabniški računi, ki se bodo v procesu nadgradnje spremenili, je treba tudi to testirati. Enako velja tudi za uporabniške delovne postaje in uporabnike. Stanje po posodobitvi mora ustrezati stanju, ki bo neopazen in transparenten. Delovanje informacijskega sistema mora ostati enako. 4.2 PRESLIKAVA OBSTOJEČEGA INFORMACIJSKEGA

SISTEMA V TESTNO OKOLJE Postopek ustvarjanja obeh domenskih kontrolorjev je potekal na preprost način, saj smo ustvarili dva navidezna računalniška sistema z operacijskim sistemom Windows NT 4.0 Server, ki smo ju priključili v produkcijsko okolje ter ju spremenili v dodatna domenska kontrolerja. Zatem smo ju preselili v testno okolje, ki je bilo ločeno od produkcijskega okolja, in enega od njiju promovirali v glavnega, drugega pa v dodatnega domenskega kontrolerja. Podobno smo naredili tudi z datotečnim in s



tiskalniškim strežnikom, le da smo ročno naredili preslikavo, in sicer smo se osredotočili le na enako namembnost. Torej smo zagotovili le enako funkcionalnost, saj nismo kopirali vseh baz podatkov in njihovih dostopnih pravic, temveč smo jo ponazorili z nekaj mapami v skupni rabi in datotekami z različnimi dostopnimi pravicami. V testno okolje smo vključili tudi omrežni tiskalnik. 4.3 UPORABA IN TESTIRANJE IZBRANE REŠITVE – PREHODA Pri prehodu v produkcijskem okolju smo uporabili posodobitev NT4 domene v domeno aktivnega imenika oziroma posodobitev strežnika Windows NT4 Server v strežnik Windows 2003 Server. Posodobitev je potekala v skladu z zgoraj opisanim teoretičnim delom, vendar z nekaterimi spremembami. Ker smo nameravali hkrati posodobiti domeno in spremeniti njeno ime, smo posodobitev ustrezno prikrojili našim željam. Dejansko smo hoteli dve različni stvari, ki sta vsaka posebej značilni za obe posodobitvi. Ker obeh posodobitev nismo mogli speljati vzporedno ali zaporedno, je bilo treba narediti nekaj sprememb. Tako smo sprva preimenovali domeno, izvedli naše prikrojene namestitvene postopke in jo nato posodobili v aktivni imenik. Sprememba imena domene izhaja iz bodoče organizacijske sheme. Skupina S&T sestoji iz štirih medsebojno povezanih regij, ki predstavljajo samostojne enote. Le-te po hierarhiji in obliki ustrezajo strukturi domen. Vsaka taka enota oziroma regija predstavlja svojo domeno, kar v tehnološkem pogledu pomeni preprosto računalniško rešitev s smeri odlične povezljivosti in nadzorovanja. Ker je naše podjetje vodilno v svoji regiji, je s tem tudi odgovorno za postavitev in vzdrževanje svoje domene. Vsaka država, ki je članica naše regije Adriatik, ima v tej domeni svojo organizacijsko enoto, kjer so shranjeni vsi podatki o njihovem informacijskem sistemu, kot so uporabniki, računalniki, varnostne skupine itd. Posamični oddelki interne informatike določene države imajo nadzor nad svojo organizacijsko enoto, celoten nadzor pa je pod pristojnostjo našega oddelka interne informatike. Ker je sedanje ime domene neustrezno, saj pomensko ne predstavlja regije, je bilo torej nujno potrebno preimenovanje. Preimenovanje NT4 domene je sila preprosto, vendar skrajno neuporabno in tehnološko nedovršeno. S spremembo so sedaj računalniki, ki so bili prej člani domene s prejšnjim imenom hermes, v preimenovani domeni izgubili članstvo. Hkrati pa so tudi vse storitve, ki so delovale s staro avtentikacijo hermes\uporabniško_ime, postale nedelujoče, saj so se pri preverjanju predstavile s starim uporabniškim imenom iz domene hermes, in ne iz nove adriatic. Posledica tega je bila ta, da je bilo treba poiskati preprost način, ki bi hitro in za uporabnike neopazno vrnil izgubljeno članstvo v preimenovani domeni. Rešitev je prišla iz Microsofta, ki je na podlagi številnih odzivov strank s problemi pri preimenovanju NT4 domene razvil skripta z imenom Netdom.exe. Eden glavnih opravil skript je dodajanje računalnikov v domeno s pogonom izvršilnega ukaza netdom v komandni vrstici. Le-ta iz priložene datoteke pobere imena računalnikov in preveri, če že obstajajo v ciljni domeni ter jih na podlagi prejete informacije doda ali ne doda v domeno. Uspešno izvajanje skript je pogojeno s pravilnim delovanjem posameznih delov operacijskega sistema. Na opazovanem računalniku je priporočljivo izključiti



delujoč protipožarni zid ali pa ustrezno spremeniti njegove parametre delovanja. Hkrati mora delovati storitev RPC (oddaljeni klic procedure), ki zagotavlja podsistem za lažje in bolj standardizirano ustvarjanje interprocesne komunikacije. Žal tu ne gre brez sodelovanja z uporabnikom, ki ga je treba predhodno obvestiti o dodajanju v novo domeno, kar pomeni, da mora biti njegov računalnik prižgan in priključen v računalniško omrežje. Na podlagi testiranj smo ugotovili, da je ta del posodobitve najbolje speljati konec delavnika in takoj za tem sprožiti postopek dodajanja računalnikov v preimenovano domeno. Prenosne računalnike pa naslednji dan, ko se njihovi uporabniki želijo prijaviti v domeno. S tem posegom smo ponovno dosegli izgubljeno članstvo in omogočili uporabnikom dostop v preimenovano domeno. Avtentikacijo storitev je bilo treba na posameznih strežnikih ročno spremeniti, kar je bilo v testnem okolju dokaj hitro. Treba je bilo le spremeniti polno ime domenskega uporabnika, prek katerega je storitev delovala, torej hermes v adriatic. Ko je bilo preimenovanje končano in vsi naknadni postopki zaključeni, so bili podani vsi pogoji za izvedbo posodobitve. V testnem okolju je posodobitev potekala v skladu s teoretičnim postopkom in brez posebnosti. Po končani posodobitvi je funkcionalnost stare domene popolnoma ustrezala novi domeni. To so potrdila tudi naknadna dolgotrajna in temeljita testiranja. 4.4 IZVEDBA DEJANSKEGA PREHODA V PRODUKCIJSKEM

OKOLJU Prvi in najpomembnejši korak je bil iz produkcijskega okolja odstraniti dodaten domenski kontroler, ki smo ga namenili za varnostni arhiv, če bi prišlo do kritične prekinitve posodobitve in je ne bi bilo možno uspešno speljati do konca. V takem primeru bi se ga enostavno priključilo v produkcijsko okolje, medtem pa bi se neuspešno posodobljen domenski kontroler izklopil. Tako bi ponovno imeli delujoče okolje in s tem čas za analiziranje neuspeha. Preimenovanje je potekalo v skladu z navodili in enako kot v testnem okolju. Postopek preimenovanja je bil hitro izpeljan, kar nas je pripeljalo do dveh deljenih postopkov. Ker nismo želeli izgubljati dragocenega časa, smo si razdelili določene naloge. Ena skupina je začela postopek preimenovanja uporabniških računov storitev na različnih strežnikih, medtem pa je druga skupina začela postopek izvajanja skript, s katero so dodajali računalnike v preimenovano domeno. Tu je bil čas trajanja postopkov bistveno daljši kot v testnem okolju, vendar to ni imelo velikega vpliva na delovanje informacijskega sistema in njegovih uporabnikov, saj se je izvajalo po delovnem času. V tem času je bilo dodanih cca 80 % vseh uporabniških delovnih postaj in vsi strežniki, kar pa je bilo tudi najpomembneje. Po končanem postopku preimenovanja in dodajanja računalnikov v novo domeno je sledilo najpomembnejše delo – posodobitev NT4 domene v aktivni imenik. Na srečo tudi pri tem postopku nismo imeli nobenih težav in je vse potekalo v skladu z navodili in enako kot v testnem okolju. Ko smo imeli v celoti posodobljen strežnik in delujoč aktivni imenik, smo v produkcijskem okolju začeli z namestitvijo dodatnega



domenskega kontrolerja, in sicer z namenom doseči tako imenovano čisto namestitev. To pomeni, da smo s tem pridobili nov in čist operacijski sistem brez podedovanih morebitnih napak v delovanju starega operacijskega sistema ter s tem tudi čisto delovanje aktivnega imenika. Postopek smo še enkrat ponovili, da smo dobili še dodaten domenski kontroler, starega posodobljenega pa smo izklopili iz omrežja. Ker pa nam je ostal še sekundarni domenski kontroler Windows NT4, smo uporabili program Upromote, s katerim smo ga preobrazili v navaden strežnik z Windows NT4 Server operacijskim sistemom ter nato posodobili v Windows Server 2003. S tem smo se rešili vseh starih operacijskih sistemov, kar je bila podlaga za dvig nivoja domene v t. i. nativ ali naravni način delovanja aktivnega imenika. Enako smo naredili tudi na ostalih oddaljenih lokacijah, kjer delujejo naše poslovne enote. Namestili smo strežnike z operacijskim sistemom Windows 2003 Server, kjer smo izpeljali postopek namestitve aktivnega imenika, ostale domenske kontrolerje pa smo enostavno - z zgoraj omenjenim programom - preobrazili v navadne strežnike. Naj omenimo tudi to, da smo po posodobitvi domene izvedli tudi posodobitev poštnega strežnika, ki je z novo tehnologijo bistveno bolj povezan kot prej in omogoča kompletno delovanje aktivnega imenika. Posodobitev je bila izvedena tako, da smo postavili nov strežnik, na katerega smo namestili Exchange 2003 v sobivanju z Exchangeom 5.5. Po končanih poznejših nastavljanjih parametrov smo začeli s selitvijo poštnih predalov s starega na novi poštni strežnik. Kljub temu da smo uspešno končali postopek posodobitev NT4 domene v aktivni imenik, nas je čakalo še veliko dela. Morali smo preveriti pravilnost delovanja nove domene in jo hkrati pripraviti na priključitev novih poslovnih enot. To je zahtevalo izredno veliko korekcij domenskih parametrov in s tem povezanega naknadnega seznanjanja z obstoječo literaturo.



5 ZAKLJUČKI 5.1 SPLOŠNE UGOTOVITVE Prihajajoče nove in sodobne tehnologije prinašajo številne ugodnosti in možnosti, ki jih morajo podjetja v boju za čim lažje in konkurentnejšo poslovanje izkoristiti prek implementacije v njihovo informacijsko strukturo, ki je temelj vsakega podjetja. Informacijski sistem je postal temeljni in neobhodni element v sistemu organizacije, saj omogoča močno podporo poslovnemu procesu pri vsakodnevnih nalogah in reševanju problemov. Dobro zasnovan in vzdrževan informacijski sistem nudi ustrezno konkurenčnost in prilagajanje zahtevam trga, kar je odločilnega pomena za dolgoročen obstanek podjetja ter odlična podlaga za nadaljnji trden in konsistenten razvoj. Microsoftove programske rešitve omogočajo implementacijo in poznejše upravljanje tehnološko dovršenega informacijskega sistema, ki ustreza vsem omenjenim in zahtevanim lastnostim. Družina strežniških operacijskih sistemov Windows Servers je skozi dolgotrajna testiranja, uvajanja in izpopolnjevanja dokazala, da je sposobna dobre organizacije in učinkovitega upravljanja informacijskega sistema. Začetnik na tem področju, strežnik Windows NT4 Server, je podal osnovo, na kateri so se razvijali ostali nasledniki. Predstavnika le-teh sta bila Windows 2000 in 2003 Server, ki sta prinesla nove tehnologije, s katerimi je bilo mogoče razvijati nove rešitve. Predstavljeni sta bili obe osnovni storitvi Microsoftovih strežniških sistemov, starejša NT4 domena s storitvijo imenik (NTDS) in novejša aktivni imenik, ki v sodobnem informacijskem okolju omogočata nadzor ter upravljanje njegovih temeljnih gradnikov, uporabnikov, računalnikov in omrežnih virov. Obe storitvi zagotavljata varno in učinkovito informacijsko okolje. V nadaljevanju so bili predstavljeni vsi možni teoretični načini prehoda med obema tehnologijama, vsak s svojo specifiko in z različnim vplivom na obstoječe delovanje informacijskega sistema. Določena izbira ustreznega prehoda med NT4 domeno in aktivnim imenikom je posledica številnih faktorjev, na katere vpliva struktura informacijskega sistema, zahteve po razširjenem delovanju z uporabo novih možnosti, varno in zanesljivo poslovanje poslovnega sistema ter prihodnja strategija razvoja informacijskega sistema. V zaključku je bilo predstavljeno praktično delo v testnem in pozneje produkcijskem okolju, da bi prikazali potek izvajanja prehoda in predstavili morebitne težave s spremljajočo problematiko. Naše izpeljane rešitve v smeri izdelave dodatnih programskih rešitev so lahko odlično vodilo pri posodabljanju informacijskih sistemov nam podobnih podjetij, saj so odstopanja v strukturi pogostokrat zelo majhna. Morda lahko služijo kot ideja za reševanje trenutnih problemov z izdelavo drugih rešitev ali pa kot edina možna rešitev in s tem omogočijo temeljni pogoj za nadaljevanje dela. Tudi predstavitev metod in tehnik reševanje problema z namestitvijo določene programske opreme je lahko odličen vpogled v izbrano tehnologijo in pridobitev določenega znanja s tega področja.



5.2 POGOJI IN IZBIRA USTREZNE REŠITVE Ker je vsako podjetje primer zase in ima ustrezno informacijsko strukturo ter določeno poslovanje, so zgoraj opisani primeri posodobitev sistemov vsekakor le vodilo pri izbiri. Nekatera podjetja se na podlagi strokovnih projektov oddelkov interne informatike v morebitnem sodelovanju z domačimi in s tujimi strokovnjaki odločijo za eno izmed možnih rešitev, nekatera pa za kombinacijo ustreznih načinov, saj je to ponavadi njihova edina možna izbira. Ključni pomen sta dobra seznanitev s teorijo prehoda in predhodno temeljito preverjanje v testnem okolju. Ko sta izpolnjena oba navedena pogoja, so podane večje možnosti, da bo tudi realizacija prehoda uspešna in hitra. Pogoj za izvedbo prehoda je informacijski sistem, temelječ na domeni Windows NT4, in ustrezna računalniška oprema, ki je sposobna namestitve aktivnega imenika. V našem podjetju smo samostojno in uspešno izvedli posodobitev informacijskega sistema, saj je bila to edina možna pot v obvladovanju vse hitreje rastočega informacijskega sistema, ki se povečuje z nakupom novih podjetij. S tem smo pridobili res velike možnosti pri nadzorovanju informacijskega sistema in tudi osnovne možnosti za transparentne in hitre pripojitve oddaljenih poslovnih enot ter novih kupljenih ali pridruženih podjetij. 5.3 NADALJNJI RAZVOJ Možnosti nadaljnjega razvoja so različne. Najprej je treba izkoristiti obstoječo tehnologijo in možnosti, ki jih ponuja. Ker je teoretičnega dela res veliko, se je smiselno udeležiti različnih strokovnih predavanj, kjer nam izkušeni strokovnjaki v določenem času podajo osnovno ali poglobljeno znanje. Lahko nas usmerijo na ustrezno literaturo in dobro učno gradivo. Koristne informacije in veliko praktičnega dela ponujajo tudi različne učne delavnice, kjer je pridobljeno praktično znanje in poznavanje računalniških trikov neprecenljivo. Tudi poznanstva, gibanje in spoznavanje ljudi v krogih, ki se ukvarjajo z omenjeno problematiko, je zelo priporočljivo. Pogosto pridejo prav tudi članstva v različnih strokovnih skupinah in forumih, kjer si člani medsebojno izmenjujejo izkušnje in mnenja o določenih problemih. Pri vsem tem ne smemo pozabiti tudi na izobraževanje ostalih uporabnikov informacijskega sistema, kajti tudi oni lahko pripomorejo k lažjemu in preglednejšemu vsakodnevnemu delu, če spoznajo osnovne lastnosti in prednosti nove tehnologije oziroma aktivnega imenika. To pridobljeno znanje je treba čim bolje izkoristiti in vložiti v popolno izrabo možnosti, ki jih ponuja aktivni imenik. Le na ta način se bodo prednosti te tehnologije uspešno implementirale v informacijsko okolje, ki bo s tem postalo pregledno, varno, učinkovitejše in lažje za upravljanje ter vodenje. Prihajajoče tehnologije bodo vsekakor temeljile na že obstoječih, kar pomeni, da bo tudi pridobljeno trenutno znanje prava podlaga v nadaljnjem razvoju. In to je potencial, ki ga je treba premišljeno ovrednotiti in izkoristiti.



LITERATURA IN VIRI Knjige: Merrick, L. (1996) Technology Brief - Windows NT Server Directory Services, BSD, Redmond Gradišar, M., Resinovič, G. (1998) Informatika v organizaciji, Fakulteta za organizacijske vede, Kranj King, R. (2003) Mastering Active directory for Windows server 2003, Sybex, San Francisco Hutchinson, S. E., Sawyer, S. C. (1996) Computers and information systems, Irwin, Chicago Članek v reviji: Minasi, M. (2004) Dns Configuration Errors Breed AD Horror, Windows IT Pro, Penton publication, 10(4), strani 44-48. Allen, R. (2004) 5 Must Have AD Tools, Windows IT Pro, Penton publication, 12(4), strani 66-70. Poročila, interni dokumenti: Microsoft (2002) delovno gradivo: Coexistence of Windows Server 2003 and Windows NT 4.0, Microsoft Corporation, 2002 Microsoft (2003) delovno gradivo: Migrating Windows NT Server 4.0 Domains to Windows Server 2003 Active Directory, Microsoft Corporation, 2003 Microsoft (2003) delovno gradivo: Microsoft® Windows® Server 2003 Deployment Kit: Designing and Deploying Directory and Security Services, Microsoft Corporation, 2003 Microsoft (2003) delovno gradivo: Upgrading from Windows NT Server 4.0 to Windows Server 2003, Microsoft Corporation, 2003 Spletne strani: http://www.microsoft.com/ntserver, 23.2.2005 http://www.microsoft.com/windowsserver2003/upgrading/nt4, 25.2.2005 http://www.microsoft.com/windowsserver2003/techinfo/serverroles/appserver, 25.2.2005 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/460e3705-9e5d-4f9b-a139-44341090cfd4.mspx, (netdom) 30.4.2005



KAZALO SLIK Slika 1: Shema skupine S&T (spletni vir S&T Hermes Plus d. d.).......................... 2 Slika 2: Poenostavljena interna omrežna shema podjetja S&T Hermes Plus d. d... 4 Slika 3: Nadzornik uporabnikov ......................................................................... 7 Slika 4: Lastnosti uporabnika ............................................................................ 8 Slika 5: Članstvo skupin .................................................................................... 9 Slika 6: Uporabniški profil ................................................................................. 9 Slika 7: Prijava na delovne postaje .................................................................. 10 Slika 8: Prijava v določenem času.................................................................... 10 Slika 9: Informacije o uporabniškem računu..................................................... 11 Slika 10: Modemska povezava .......................................................................... 11 Slika 11: Varnostna politika uporabniških računov .............................................. 12 Slika 12: Varnostna politika pravic uporabnikov.................................................. 13 Slika 13: Politika beleženja dogodkov ................................................................ 13 Slika 14: Nadzornik strežnikov .......................................................................... 14 Slika 15: Lastnosti strežnika ali delovne postaje ................................................. 14 Slika 16: Seje uporabnika ................................................................................. 15 Slika 17: Viri v skupni rabi ................................................................................ 15 Slika 18: Odprti viri v skupni rabi....................................................................... 16 Slika 19: Replikacija na domenskem kontrolerju................................................. 16 Slika 20: Opozorila ........................................................................................... 17 Slika 21: Združljivost aktivnega imenika............................................................. 19 Slika 22: Hierarhično logična struktura aktivnega imenika ................................... 20 Slika 23: Replikacija ......................................................................................... 21 Slika 24: Uporabniki in računalniki aktivnega imenika ......................................... 22 Slika 25: Lastnosti uporabniškega računa .......................................................... 23 Slika 26: Lastnosti računalniškega računa .......................................................... 24 Slika 27: Lastnosti skupin ................................................................................. 25 Slika 28: Nadzornik skupinskih politik ................................................................ 25 Slika 29: Čarovnikovo okno za namestitev aktivnega imenika.............................. 32 Slika 30: Določitev nove domene ...................................................................... 32 Slika 31: Polno DNS ime nove domene .............................................................. 33 Slika 32: Določitev funkcionalnega nivoja domene.............................................. 33 Slika 33: Lokacija mape podatkovne baze in mape shranjevanja logov ................ 34 Slika 34: Določitev lokacije mape SYSVOL.......................................................... 34 Slika 35: Diagnostika DNS-a ............................................................................. 35 Slika 36: Določanje združljivosti pravic .............................................................. 35 Slika 37: Določanje gesla za delo v načinu restavriranja aktivnega imenika.......... 36 Slika 38: Končno okno namestitve aktivnega imenika ......................................... 37 Slika 39: Migracijsko orodje aktivnega imenika................................................... 40 Slika 40: Izbira izvorne in ciljne domene............................................................ 41 Slika 41: Izbira uporabnika ............................................................................... 41 Slika 42: Izbira ciljne organizacijske enote ......................................................... 41 Slika 43: Nastavitve gesel ................................................................................. 42 Slika 44: Možnosti uporabniških računov............................................................ 42 Slika 46: Rezultati migracije.............................................................................. 43

Documents

PREHOD IZ NT4 DOMENE V AKTIVNI IMENIK - CORE