[es] - Windows server 2003 grupe

Dejan Djurovic
Deki bre
Kao Gorila u magli

Član broj: 92366
Poruke: 16
*.83.beocity.net.

Profil

Re: Windows server 2003 grupe

^{20.05.2006. u 23:50 - pre 218 meseci}

Idemo polako:

User: Korisnik koji se kachi na stanicu to jest Server. Sachinjen od naloga rachunara njegovog user naloga. Njegov nalog ti se smesta u aktivnom direktorijumu.
Posebno u user folder, u computer folder ti ide nalog rachunara, u folder users ti se prave nalozi za user account`s (dakle ovo server radi po default/u naravno ti ovde mozes da promenis lokaciju foldera da ne bude tu vec u nekom drugom folderu koji ti sam kreras). Dakle user ti je korisnik na mrezi koji je sachinjen od user account/a i computer naloga i nakachen je na Serveru.

Idemo dalje:

Domenska globalna grupa: Ti je grupa u kojoj se svi useri smestaju u jedan folder koji ti kreiras posebno sam, zatim te korisnike u toj domenskoj globalnoj grupi to jest folderu, konfigurises tako da samo u toj grupi u kojoj se nalaze ti useri mogu da vrse razmenu fajlova to jest foldera izmedju sebe i ostalo.

Dobro dalje:

Domenska lokalna grupa: Ti je glavna nad globalnom grupom, u njoj mozes menjati hijerarhiju (pravila) nad globalnim grupama, znachi domenska lokalna grupa ti je glavna nad ostalim grupama koje postoje, osim ukoliko ne podesis drugachija prava po svome, ali Microsoft savetuje da ovakva hijerarhija ostane po default/u.

_{[Ovu poruku je menjao Dejan Djurovic dana 21.05.2006. u 00:51 GMT+1]}

Hocu ja, da izjavim nesto za dnevnik!

Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12848

+4784 Profil

Re: Windows server 2003 grupe

^{21.05.2006. u 08:35 - pre 218 meseci}

Napomena: post nije potpun. Neke nelogicnosti mogu iskrsnuti zbog toga.

Citat:

Dejan Djurovic: Posebno u user folder, u computer folder ti ide nalog rachunara, u folder users ti se prave nalozi za user account`s (dakle ovo server radi po default/u naravno ti ovde mozes da promenis lokaciju foldera da ne bude tu vec u nekom drugom folderu koji ti sam kreras). Dakle user ti je korisnik na mrezi koji je sachinjen od user account/a i computer naloga i nakachen je na Serveru.

Ne bi bilolose pomenuti i pravi naziv tog "folder"-a da ne bi pocetnik bio zbunjen kada naidje na to. Dakle, organisation unit.
Takodje, korisnik nije sachinjen od user account/a i computer naloga. Korisnik ima svoj - user account i to je to. Computer account pripada masinama.

Takodje u ostatku posta ima netacnih stvari (ili sam ja pogresno razumeo sta pise), ali necu ih citirati jer cu napisati ispravniju verziju.

Pre svega, grupe sluze za pojednostavljenje administracije. Konkretnije, odredjivanje prava pristupa.
Koriste se kada postoji neko definisano pravilo za vise korisnika a tada treba to pravilo dodati jos nekom korisniku ili nekom oduzeti, ili izmeniti svima. Evo primera:

Imas ljude koji rade u marketing odeljenju firme. Svi imaju svoje naloge i svi mogu da pristupaju deljenom folderu \\filestorage\marketing i imaju potpunu kontrolu. Jedan nacin je da svakom user-u podesavas ta prava posebno. Tada bi svakom novom zaposlenom u marketingu morao ponovo da dodeljujes ta prava a svakom ko ode bi morao posebno da ukidas. Takodje, ako dodje do promene nad pravima, morao bi za svakog od njih posebno da vrsis istu izmenu.
Drugi nacin je da kreiras grupu Marketing i koj oderedis prava pristupa. U nju onda stavis sve user-e radnika u marketing odeljenju. Ako neko ode, samo ga izbacis iz grupe. Ako se zaposli neko nov dodas ga grupi. Ako dodje do promene prava pristupa, menjas samo jednom - za grupu i primenjuje se na sve u njoj.
Grupe mogu pored korisnickih naloga sadrzati i druge grupe.

E sad... Postoje 3 vrste grupa - universal, global, i domain local.
Razlika je u opsegu.
•Domain local mogu sadrzati user-e definisane na tom konkretnom domenu i mogu joj se dodeljivati prava pristupa u okviru tog domena.
•Globalne mogu sadrzati user-e samo iz domena u kome su definisane, ali se prava pristupa mogu dodeliti i u drugim domenima u šumi.
•Univerzalne grupe mogu sadrzati user-e i grupe iz bilo kog domena i mogu se prava dodeljivati u okviru bilo kog domena.
Zasto ne koristiti samo univerzalne grupe kad vec daju najvise mogucnosti? Zbog necega sto se zove globalni katalog. O njemu nekom drugom prilikom.

Postoje i obicne lokalne grupe koje se odnose na pojedinacne masine.

Kao sto rekoh grupe mogu, osim user-a, sadrzati i druge grupe. Pri tome postoje pravila a o njima neki drugi put. U medjuvremenu, pogledajte Aleksandrov link.

_{[Ovu poruku je menjao Shadowed dana 21.05.2006. u 10:35 GMT+1]}

Nebojsa Milanovic: Što se tiče Trumpa, smatram ga vrhunskim predsednikom i voleo bih da živim u državi na čijem je on čelu.
Nebojsa Milanovic: Rusija ne laže, ne vodi osvajačke ratove
Nebojsa Milanovic: Trump je svetla tačka u USA blatu.

Odgovor na temu

AleksandarNS
Consultant
Novi Sad/Beograd

Član broj: 36938
Poruke: 1209
*.ADSL.neobee.net.

+4 Profil

Re: Windows server 2003 grupe

^{21.05.2006. u 15:56 - pre 218 meseci}

Hajde da ti ja dam još jedan primer (iz realne situacije).

radi lakšeg shvatanja, uprostiću primer (koliko god je to moguće)
Postoji jedan folder na kom zaposleni treba da imaju različite vrste pristupa. U suštini nad tim folderom treba da postoje 3 vrste dozvola koje će biti primenjene na zaposlene u zavisnosti od njihove potrebe za nivoom pristupa.

Znači folder se zove Company. određeni broj zaposlenih na njemu treba da imaju pravo read and write, drugi zaposleni treba da imaju pravo - modify bez mogućnosti brisanja fajla, treći treba da imaju pravo pravo full modify unutar foldera.

nivo pristupa ovom folderu zavisi od posla koji zaposleni vrši - dakle sekretarice treba da imaju read pravo, komercijalisti treba da imaju pravo modify bez delete, dok menadžeri treba da imaju full modify pravo.

u ovom slučaju trebalo bi raditi takozvani group nesting (naravno, nije obavezno - ali preporučljivo).

dakle, prvo napraviti 3 domain local groupe koje ćemo nazvati (npr). DL_Company_RW, DL_Company_MwoD i DL_Company_M (ovo DL znači naravno domain local...i to je neka vrsta nepisanog pravila koje admini primenjuju (a i MS preporučuje). ovo na kraju sam ja dodao kako bih na prvi pogled skontao koja prava ima ta grupa (RW je read and write, MwoD je modify without delete i M je modify)).

zatim te grupe dodeliti nad folder company i dodeliti im dozvole iz njihovog naziva. dakle za DL_Company RW selektovati checkboxove za read and write... itd itd (isto uraditi i za druge dve grupe - samo selektovati checkboxove koji odgovaraju željenom nivou pristupa).
Znači, Domain Local grupama se određuje pristup nekom Folderu, printeru, scanneru i sl.

Zatim napraviti tri globalne grupe sa imenima G_assistants, G_sales i G_management (G za globalnu grupu)

grupu G_assistants (sekretarice) ubaciti u grupu DL_Company_RW, grupu G_sales ubaciti u grupu DL_Company_MwoD, grupu G_management ubaciti u DL_Company_M (ovo se zove group nesting).

Na kraju ti preostaje samo da user accounte ubaciš u potrebne globalne groupe. dakle ako imaš tri sekretarice ubaciš sva tri naloga u G_Assistants (itd za ostale grupe).

Zašto se to ovako preporučuje? pa zato što je u biti veoma praktično. ja sam ovde naveo primer sa jednim folderom, a zamisli da imash 50 foldera i 3 štampača i 1 scanner.
Da je bio slučaj bez globalnih grupa (tj da si usere ubacivao direktno u DL grupe) ima bi ogroman problem kada bi recimo neko iz sales bio demoted u assistants. morao bi ručno da brišeš usera iz članstva svake od DL grupa i da ga prebacuješ u drugu DL. to je sizifov posao. u slučaju kada koristiš Globalne grupe, sve što treba da uradiš je da iščlaniš usera iz G_sales i da ga učlaniš u G_assistants i time je dobio sva ovlašćenja koja pripadaju assistantu (sekretarici

).

Nadam se da nisam bio previše konfuzan (nisam mnogo imao vremena da osmislim post)

edit: ok, sad su mi neki rekli da je prilično konfuzno (ali da su razumeli)

_{[Ovu poruku je menjao AleksandarNS dana 21.05.2006. u 17:14 GMT+1]}

It's a big mistake to allow computer to realise that you are in a hurry.

Odgovor na temu

Dejan Djurovic
Deki bre
Kao Gorila u magli

Član broj: 92366
Poruke: 16
*.83.beocity.net.

Profil

Re: Windows server 2003 grupe

^{21.05.2006. u 16:26 - pre 218 meseci}

Da naravno, mala digresija je sachinjena, moglo se napisati bas ovako detaljno kao sto ste vi napisali.
Ja sam se ipak odluchio da dam odgovor na kraci nachin, da ga ne bih zbunio vec samo ga naveo kako po default/u funckionisu u Serveru 2003 (ochigledno sam probudio vecu paznju kod vas nego kod njega).

Nije poenta odgovoriti detaljno i do srzi ceo odgovor, poenta je navesti na odgovor da bi on sam razumeo i nastavio sam.
Dakle ovo sve sto ste napisali je apsolutno tachno.

_{[Ovu poruku je menjao Dejan Djurovic dana 21.05.2006. u 17:27 GMT+1]}

Hocu ja, da izjavim nesto za dnevnik!

Odgovor na temu

Dejan Djurovic
Deki bre
Kao Gorila u magli

Član broj: 92366
Poruke: 16
*.83.beocity.net.

Profil

Re: Windows server 2003 grupe

^{21.05.2006. u 16:42 - pre 218 meseci}

Citat:

Shadowed: Napomena: post nije potpun. Neke nelogicnosti mogu iskrsnuti zbog toga.

Ne bi bilo lose pomenuti i pravi naziv tog "folder"-a da ne bi pocetnik bio zbunjen kada naidje na to. Dakle, organisation unit.
Takodje, korisnik nije sachinjen od user account/a i computer naloga. Korisnik ima svoj - user account i to je to. Computer account pripada masinama
_{[Ovu poruku je menjao Shadowed dana 21.05.2006. u 10:35 GMT+1]}

Ipak se nebih slozio sam tobom u vezi user i computer account/a.
Dakle kako mogu da postoje user account korisnika ukoliko ih ti nisi sam kreirao na serveru ?
Takodje computer account nije prisutan dok se sam takodje ne kreira prilikom ulogovanja radne stanica.

Pravi nazivi tih foldera u kojima se smestaju user i computer account/s se nalaze na sledecoj lokaciji:

Administrative Tools/Active Directory Users and Computers:

Folder "Computer" je napravljen da server po default/u smesta radne computer stanice u tu lokaciju, ta lokacija to jest taj folder ni nemora biti tu vi mozete da kreirate drugi folder u koji zelite da stavljate vase radne stanice computer naloga.

Folder "Users" je napravljen taodje napomenuto kao za gornji primer stim sto se ovde nalaze Users account/i i takodje je dozvoljeno menjanje lokacije korisnika u drugi folder.

Ispravi me ako gresim.

Hocu ja, da izjavim nesto za dnevnik!

Odgovor na temu

Dejan Djurovic
Deki bre
Kao Gorila u magli

Član broj: 92366
Poruke: 16
*.83.beocity.net.

Profil

Re: Windows server 2003 grupe

^{21.05.2006. u 16:46 - pre 218 meseci}

Bilo kako bilo, stariji ste od mene i imate jako vise iskustva od mene, ne bih zeleo da ja vama solim pamet vec kao sto po default/u ide vi meni "tako bilo i ostalo".
Dakle, ne zamerite ukoliko se naislo na malu digresiju prilikom pisanje tu smo ipak da jedni od drugih nauchimo nesto.
Pozdrav.

_{[Ovu poruku je menjao Dejan Djurovic dana 21.05.2006. u 17:47 GMT+1]}

Hocu ja, da izjavim nesto za dnevnik!

Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12848

+4784 Profil

Re: Windows server 2003 grupe

^{21.05.2006. u 20:15 - pre 218 meseci}

Naravno da niko ne zamera nista. Bitno je da ukupno na temi budu date dobre informacije. Svako doprinosi koliko zna/hoce/moze ;).

Inace, ovo sto si pomenuo je sve ok. Jedino se nisam slozio sa "Dakle user ti je korisnik na mrezi koji je sachinjen od user account/a i computer naloga" jer se ne sastoji od user account-a i computer account-a. Korisnik ima svoj user account a masina svoj computer account.
Inace, da, po default-u se tako ponasaju, ali si slobodan da stavis koji hoces account u koju hoces OU.

Odgovor na temu

polke
Beograd

Član broj: 12230
Poruke: 83
195.252.79.*

+9 Profil

Re: Windows server 2003 grupe

^{31.08.2006. u 10:04 - pre 214 meseci}

Da li je sad odgovarajuca prilika za malo globalnog kataloga?

Citat:

Univerzalne grupe mogu sadrzati user-e i grupe iz bilo kog domena i mogu se prava dodeljivati u okviru bilo kog domena.
Zasto ne koristiti samo univerzalne grupe kad vec daju najvise mogucnosti? Zbog necega sto se zove globalni katalog. O njemu nekom drugom prilikom.

Maximalno!

Odgovor na temu

Machiavelli...
Đorđe Đokanović
IT Support Engineer II
www.amazon.com
Philadelphia

Član broj: 90589
Poruke: 672
89.216.224.*

Sajt: www.linkedin.com/in/dorde..

+92 Profil

Re: Windows server 2003 grupe

^{03.09.2006. u 11:47 - pre 214 meseci}

Hvala na objasnjenju ljudi... Ni meni ovo nije bas bilo najjasnije (citao sam literaturu na engleskom i bilo mi je jasnije ali ne bas 100%) ... Hvala u svakom slucaju veoma korisna tema...

Cheers,
Djordje

Having an idea is like being in a nutshell, but exchanging idea and collaborate
with
others is like being in infinite ocean of knowledge.
________________________________________________________________
____

Veruj u sebe. Ako ti neces, ko hoce?!

„Bolje živeti 100 godina kao milioner, nego sedam dana u bedi.“

Odgovor na temu