leksion 9 administrimi i objekteve te ad dhe kontrolli i akseseve

Sistemet Active Directory Data 11 MAJl, 2010

KRIJIMI DHE ADMINISTRIMI I GRUPEVE

Grupet reduktojne numrin e perdoruesve tek te cilet ne duhet te vendosim te drejtat dhe akseset. Ne vend qe ti vendosim te drejtat tek perdoruesit, ne i vendosim ato tek grupet. Si administratore te sistemit, ne duhet te kuptojme se si ti perdorim grupet, si ti krijojme, si te shtojme anetaret.

Perpara se te krijojme grupet, ne duhet te kuptojme qellimin e krijimit te tyre, dhe se si ndikojne ato ne lehtesimin e administrimit.

Nje grup eshte nje koleksion i llogarive te perdoruesve. Grupet lehtesojne administrimin duke na lejuar te vendosim te drejta dhe aksese tek grupet ne vend qe ti vendosim tek llogarite e perdoruesve.

Llogarite e perdoruesve mund te jene anetare ne nje ose me shume grupe. Te drejtat kontrollojne Kur i japim te drejta, perdoruesi fiton akses tek burimet. Ne percaktojme edhe tipin e aksesit qe perdoruesi do te kete tek burimi.

Per shembull, nese disa perdorues duhet te lexojne tek i njejti skedar, do te ishte praktike e mire ti shtonim keto llogari perdoruesish tek nje grup dhe me pas ti jepnim grupit te drejta leximi tek skedari.

Figura 1. Vendosja e te drejtave tek grupet.

Pervec llogarive te perdoruesve, ne mund te shtojme dhe grupe te tjera, kontakte dhe kompjutera si anetare te grupeve. Ne shtojme grupet si anetare te grupeve te tjera ne menyre qe te krijojme grupe me te konsoliduara.

Qe do te thote, ne rast se shume grupeve duhet ti caktojme te njejtat te drejta, krijojme nje grup tjeter dhe te gjithe grupet i anetaresojme tek grupi qe krijuam. Ne kete menyre ne minimizojme numrin e hereve qe duhet te caktojme te drejtat tek grupet.

A.LALA Faqe 1 nga 16


Tipet e grupeve

Ne mund te krijojme grupe per arsye te ndryshme sigurie, sic jane caktimi i te drejtave dhe akseseve, ose per arsye te tjera sic jane dergimi i email-ve. Active Directory ofron krijimin e dy tipe grupesh: Grupe sigurie dhe Grupe shperndjarje.

Tipi i grupit percakton se si ne i perdorim grupet. Te dy tipet e grupeve ruhen ne bazen e te dhenave te Active Directory, gje qe na lejon ti perdorim ato ne do kohe ne rrjetin tone.

Grupet e sigurise

Windows Server 2003 perdor grupet e sigurise per te caktuar aksesin dhe te drejtat tek nje burim.

Grupet e shperndarjes

Grupet e shperndarjes perdoren per funksione te ndryshme qe nuk lidhen me sigurine. Ne perdorim grupet e shperndarjes kur funksioni i perdorimit nuk lidhet me sigurine, sic eshte rasti i dergimit te email-ve. Vetem programet qe perdorin Active Directory mund te perdorin grupet e shperndarjes. Per shembull, Microsoft Exchange Server perdor grupet e sigurise si lista shperndarje per dergimin e email-ve.

Qellimet e grupeve1

Kur ne krijojme nje grup, duhet te zgjedhim tipin e grupit dhe qellimin e grupit. Group scopes tregon se ku grupi aplikohet ne pemen e domain-it, apo forest-in. Kemi tre tipe grupesh qe jane: universal, global dhe domain local.

Group Scope Anetaret e grupeve Mund tu vendosen te drejta per:

Group scope mund te konvertohen ne:

Universal Llogari nga cdo domain brenda forestit ku ndodhet grupi universal.

Grupe globale nga cdo domain brenda forestit ku ndodhet grupi universal.

Grupe universale brenda cdo domain-i ne brenda forestit ku ndodhet grupi universal.

Anetaret mund te jene nga cdo domain.

Anetaret mund te aksesojne burimet

Ne cdo domain ose forest.

Domain Local Global (per aq

kohe sa nuk ekziston asnje grup universal si anetare i grupit).

1 Group Scope



ne cdo domain.Global Llogarite nga i

njejti domain sic eshte grupi global prind.

Grupe globale nga i njejti domain sic eshte grupi global prind.

Anetaret mund te jene vetem nga domain-I lokal.

Anetaret mund te aksesojne burime ne cdo domain.

Te drejtet e anetareve mund te caktohen ne cdo domain.

Universal (per aq kohe sa grupi nuk eshte anetare i ndonje grupi tjeter global).

Domain Local Llogari nga cdo domain.

Grupe globale nga cdo domain.

Grupe universale nga cdo domain.

Grupe Domain Local por vetem nga i njejti domain ku eshte dhe grupi prind Domain Local.

Anetaret mund te jene nga cdo domain lokal.

Anetaret mund te aksesojne burimet vetem nga domain-I lokal.

Te drejtat e anetareve mund te caktohen vetem brenda te njejtit domain ku ndodhet dhe grupi prind Domain Local.

Universal (per aq kohe sa grupi nuk eshte anetare i ndonje grupi tjeter global).

Grupet Globale



Grupet Global Security Groups jane grupet qe perdoren me se shumti per te organizuar perdoruesit qe kane te njejtat kerkesa per akses ne rrjet. Nje grup global ka disa nga karakteristikat e meposhtme:

Anetaresim te limituar

Ne mund te shtojme vetem anetare nga domaini ku krijohet grupi global.

Akses tek burimet ne cdo domain

Ne mund te perdorim grupet globale per te vendosur te drejtat dhe akseset tek burimet qe ndodhen ne cdo domain ne peme ose forest.

Grupet Domain Local

Grupet e sigurise Domain Local Security Groups jane grupet qe perdoren me shpesh per te dhene te drejta tek burimet. Nje grup Domain Local ka karakteristikat e meposhtme:

Anetaresim te hapur

Ne mund te shtojme anetare nga cdo domain.

Akses te burimeve ne nje domain

Ne mund te perdorim grupet Domain Local per te dhene te drejta per te aksesuar burime qe ndodhen tek i njejti domain ku eshte krijuar grupi Domain Local.

Grupet Universale

Grupet universale jane nje nga tiparet e reja qe u fut tek sistemet Microsoft Windows 2000. Grupet Universal Security Groups jane grupet qe perdoren me shume per te dhene te drejta tek burime ne domain-e te ndryshme. Nje grup sigurie Universal ka karakteristikat e meposhtme:

Anetaresim te hapur

Mund te shtojme anetare nga cdo domain ne forest.

Akses tek burimet ne cdo domain

Ne mund ti perdorim grupet universale per te vendosur te drejta per te aksesuar burime qe ndodhen ne cdo domain ne forest.

Eshte i disponueshem vetem ne domaine me nivel funksional Windows 2000 native ose Windows Server 2003.



Grupet universale nuk jane te disponueshem ne domaine me nivel funksional Windows 2000 mixed.

Si ndikojne grupet universale tek replikimi.

Grupet e sigurise universale dhe anetaret e tyre listohen ne katalogun global. Kur ne krijojme grupe universale, grupi qendron perkohesisht ne particionin e domain-it ku grupi krijohet deri sa katalogu global ti beje pyetje domain-it per ndryshimet. Pasi katalogu global shikon objektin e ri, ndryshimet do te replikohen tek te gjithe kataloget globale ne forest.

Ne sistemet Windows 2000, kur nje anetare i nje grupi universal ndryshon qellimin e grupit, i gjithe anetaresimi i grupit do te replikohet tek te gjithe kataloget globale ne peme ose ne forest, duke shfrytezuar nje nje sasi te madhe bande te rrjeti dhe ngarkese procesori. Gjithashtu, nese anetaresimi ne grupe ndryshohet ne menyre te njekoheshme ne nje ose me shume domain controller-a, disa nga update-t e anetaresimeve mund te humbasin gjate replikimit.

Anetaresimi ne grupe

Qellimi i grupit percakton anetaresimin e nje grupi. Rregullat e anetaresimit vendosin se cfare anetaresh mund te kete nje grup. Anetaret e nje grupi jane llogarite e perdoruesve, grupet e tjera, kontaktet, kompjuterat.

Anetaresimi lokale

Nje grup lokal eshte nje koleksion llogarish perdoruesish ne nje kompjuter. Ne i perdorim grupet lokale per te vendosur te drejta tek burimet qe ndodhen ne kompjuterin lokal ku ndodhet grupi lokal qe eshte krijuar. Windows Server 2003 krijon grupe lokale ne databazen lokale te sistemit.

Udhezime per perdorimin e grupeve lokale:

Ne i perdorim grupet lokale vetem ne kompjutera ku i krijojme keto grupe. Te drejtat e grupeve lokale ofrojne akses vetem tek burimet tek kompjuteri ku ne kemi krijuar grupin lokal.

Ne i perdorim grupet lokale ne kompjutera me Microsoft Windows XP Professional dhe ato servera qe punojne me Windows Server 2003. Grupet lokale nuk mund te krijohen tek domain controller-at sepse domain controllerat nuk kane nje databaze qe eshte e pavarur nga databaza e Active Directory-se.

Ne i perdorim grupet lokale vetem ne kompjuterat qe nuk i perkasin nje domain-i. Pra qe jane ne workgroup. Perdorimi i grupeve lokale ne kompjuterat qe jane anetare te nje domain-i na pengon ne administrimin qendror te grupeve. Grupet lokale nuk shfaqen ne Active Directory, dhe ne duhet ti administrojme grupet lokale ne menyre te vecante tek cdo kompjuter ku ato jane krijuar.

Rregullat e anetaresimit per grupet lokale perfshijne:

Grupet lokale mund te permbajne llogari perdoruesi lokal nga kompjuteri ku krijohen.



Grupet lokale nuk mund te jene anetare te grupeve te tjere.

Krijimi dhe administrimi i grupeve

Ne perdorim Active Directory Users and Computers per te krijuar grupe. Me te drejtat e duhura, ne mund te krijojme grupe ne cdo domain ne forest, ne OU qe ne mund te krijojme per te krijuar grupet. Emri qe ne zgjedhim per nje grup duhet te jete unik ne domain-in qe ne po e krijojme.

Per te krijuar nje grup duhet te ndjekim hapat e meposhtem:

Klikojme Start Administrative Tools Active Directory Users and Computers Klikojme me te djathten tek domain-i ose ndonje OU ku ne duam te krijojme grupin dhe

zgjedhim NewGroup. Ne kutine e dialogut New Object-Group qe shfaqet, shkruajme emrin e grupit tek kutia Group

Name. Veme re se kutia Group Neme (Pre-Windows 2000) plotesohet automatikisht kur shkruajme emrin e grupit. Me pas zgjedhim qellimin dhe tipin e grupit.

Figura 2. Krijimi i grupeve.

Fshirja e grupeve



Ne kompanine qe ne administrojme, mund te na linde nevoja te fshijme grupe qe nuk i perdorim me. Fshirja e grupeve sherben per te mbajtur nen kontroll sigurine ne menyre qe te shmangim dhenien aksidentale te te drejtave per akses tek burime nga oblekte dhe grupe qe nuk duhet te kene me akses.

Cdo grup ka nje identifikues unik qe quhet Security Identifier SID. Windows Server 2003 perdor SID per te identifikuar grupin dhe te drejtat qe i jane vendosur atij. Kur ne fshijme nje grup, Windows Server 2003 nuk e perdor me ate SID per grupet. Keshtu qe, ne nuk mund te rivendosim akses tek burimet duke e rikrijuar grupin, sepse tashme, grupi qe rikrijojme nuk eshte me grupi qe ne fshijme.

Per te fshire nje grup ndjekim hapat e meposhtme:

Klikojme me te djathten tek grupi dhe me pas klikojme Delete.

Ne dritaren e Active Directory qe shfaqet klikojme Yes.

Shtimi i anetareve tek nje grup

Pasi ne krijojme nje grup, ne shtojme anetaret qe do te bejne pjese tek ky grup. Anetaret e grupeve perfshijne llogari perdoruesish, kontakte, grupe te tjera si dhe kompjutera. Ne mund te shtojme kompjutera tek njej grup per ti dhene nje kompjuteri akses tek nje burim i ndare tek nje kompjuter tjeter.

Per te shtuar anetare tek perdorim konsolen Active Directory Users and Computers.

Per te shtuar anetaret tek nje grup ne duhet te ndjekim hapat e meposhtme:

Klikojme Start Active Directory Users and Computers dhe me pas shkojme ne tek kontenieri ku eshte krijuar grupi.

Klikojme me te djathten dhe zgjedhim opsionin Properties.

Ne kutine e dialogut Properties per grupin, klikojme tabin Members dhe me pas klikojme Add.

Zgjedhim User-at, Kontaktet, kompjuterat ose grupet qe duam te shtojme si ne figuren e meposhtme:



Figura 3. Shtimi i anetareve tek nje grup.

Me pas shtypim tabin Advanced dhe zgjedhim objektet qe duam ti bejme anetare te grupit dhe shtypim OK.

Ndryshimi i qellimit te grupeve

Kur ne krijojme nje grup, grupi eshte i konfiguruar si nje grupsigurie me qellim global pavarsisht nga niveli funksional i domain-it. Megjithse ndryshimi i qellimit te grupit nuk lejohet ne domaine me nivel funksional Windows 2000 mixed, qellimet e meposhtme te grupeve lejohen ne domaine qe kane nivel funksional Windows 2000 native ose Windows Server 2003.

Nga global ne universal per aq kohe sa grupi nuk eshte anetare i ndonje grupi tjeter qe eshte me qellim global.

Nga domain local ne universal per aq kohe sa grupi qe po ndryshon qellimin te mos jete anetare i ndonje grupi tjeter qe eshte domain local.

Universal to global, per aq kohe sa grupi qe po ndryshon qellimin nuk ka si anetare ndonje grup me qellim universal.

Universal ne domain local.

Per te ndryshuar qellimin e nje grupi ndjekim hapat e meposhtem:

Klikojme Start Active Directory Users and Computers dhe shkojme ne vendndodhjen e grupit.

Klikojme me te djathten grupin perkates dhe me pas klikojme Properties.

Ndryshojme qellimin e grupit ne tabin General te kutise se dialogut Properties.

Praktike: Krijimi dhe administrimi i grupeve.

Exercise 1: Creating a Global Group and Adding Members

In this exercise, you create a global security group and add members to the group.

_ To create a global group and add members

1. Log on to Server1 as Administrator.

2. On Server1, use the procedure provided earlier in this lesson to create a global security group in the Chicago OU. Name the global group Sales.



3. Use the procedure provided earlier in this lesson to add User One and User Five as members of the Sales global group.

Exercise 2: Creating a Domain Local Group and Adding Members

In this exercise, you create a domain local group that you use to assign permissions to gain access to sales reports. Because you use the group to assign permissions, you make it a domain local group. You then add members to the group by adding the security global group you created in Exercise 1.

_ To create a domain local group and add members

1. On Server1, use the procedure provided earlier in this lesson to create a domain local group in the Chicago OU. Name the domain local group Reports.

2. Use the procedure provided earlier in this lesson to add the Sales global group as a member of the Reports domain local group.

KONTROLLI I AKSESEVE DHE TE DREJTAVE TE OBJEKTEVE TE AD

Windows Server 2003 perdor modelin e bazuar ne objekte per te implementuar kontrollin e aksesit per te gjithe objektet e Active Directory. Cdo objekt i Active Directory ka nje pershkrues te sigurise qe percakton se kush ka te drejta per te patur akses tek objektet dhe cdo tip te aksesit qe lejohet. Windows Server 2003 i perdor keto pershkrues te sigurise per te kontrolluar aksesin tek objektet.

Per te kontrolluar aksesin tek objektet e Active Directory, ne japim ose mohojme aksesin objekteve.



Nje e drejte eshte nje autoritet per te kryer veprime ose bashkesi veprimesh tek nje objekt dhe kjo e drejte lejohet ose mohohet nga owner-i i objektit.

Nje princip sigurie eshte nje perdorues , nje grup, kompjuter, ose sherbim te cilit i caktohet nje identifikues sigurie unik (SID).

Nje SID identifikon ne menyre unike perdoruesit, grupet, kompjuterat ose sherbimet ne nje korporate dhe perdoret per te menaxhuar principet e sigurise. Njesite Organizative nuk jane principe sigurie dhe ne nuk mund te vendosim te drejta aksesi tek OU-te. Ne mund te vendosim te drejta aksesi vetem ne ato drive te formatuar per te perdorur NTFS.

Windows Server 2003 ruan nje liste te te drejtave te aksesit te perdoruesve qe quhet Access Control List (ACL), per cdo objekt te Active Directory.

ACL-ja e nje objekti tregon se kush mund te aksesoje nje objekt dhe veprimet specifike qe nje perdorues mund te kryeje mbi ate objekt. Per te ofruar nje princip sigurie me akses tek nje objekt, ne shtojme kete princip sigurie tek ACL-ja e objektit.

Te drejtat

Zakonisht ne i caktojme te drejtat duke lejuar (Allow) apo ndaluar (Deny). Te drejtat e ndalimit apo mohimit kane perparesi mbi te gjitha te drejtat e tjera. Per shembull, nese ne i mohojme te drejtat nje perdoruesi per te fituar akses tek nje objekt, perdoruesi nuk do ta kete kete te drejte, edhe nese neve lejojme te drejtat per nje grup tek i cili perdoruesi eshte anetare.

Tipi i objektit percakton se cilat te drejta ne zgjedhim. Per shembull, ne mund te vendosim te drejta per Reset Password tek nje princip sigurie per nje objekt perdoruesi por jo per nje objekt printeri. Per cdo tip objekti ka nje grup me te drejta standarte dhe nje grup me te detajuar me te drejta speciale.

Zakonisht te drejtat standart jane ato qe vendosen me shpesh. Ne mund te shikojme te drejtat standart tek tabi Security i kutise se dialogut Properites per nje objekt si ne figuren e meposhtme:



Figura 1. Kutia e Dialogut Property, tabi Secutiry per nje objekt

Per te pare te drejtat standart te nje objekti, ndjekim hapat e meposhtme:

1. Klikojme Start dhe shkojme tek Administrative Tools, dhe me pas tek Active Directory Users and computers. Sigurohemi qe te selektojme Advanced Features pasi perndryshe ne nuk do tem und te shikojme tabin security tek propertite e nje objekti. Klikojme me te djathten tek objekti qe ne deshirojme ti shikojme te drejtat standarte dhe klikojme property.

2. Ne kutine e dialogut Properties te nje objekti, klikojme tabin Security. Klikojme principin e sigurise tek kutia e emrit te grupit apo te perdoruesit per te pare te drejtat standarte qe jane konfiguruar tek nje objekt.

Ne tabelen e meposhtme tregohen te drejtat standarte qe ndodhen tek te gjithe objektet dhe tipin e aksesit qe secila prej tyre lejon:



Te drejtat Standarte kompozohen dhe nga te drejtat speciale, te cilat na ofrojne nje kontroll me te sofistikuar te aksesit te objekteve. Per shembull, te drejta standarte Write perbehen nga te drejtat Write All Properties dhe All Validated Writes.Te drejtat speciale shfaqen kur klikojme tabin Advancet ne kutine e dialogut Properties te nje objekti sin e figuren e meposhtme ku tregohen te drejtat speciale:

Figura 2. Kutia e dialogut te te drejtave

Per te pare te drejtat speciale te nje objekti, ndjekim hapat e meposhtme:

1. Klikojme StartAdministrative Tools Active Directory Users and Computers. Ne menune View te objektit zgjedhim opsionin Advanced Features. Me pas klikojme me te djathten objektin per te cilin duam te shikojme te drejtat speciale dhe me pas klikojme opsionin Property

2. Ne kutine e dialogut Property klikojme tabin Security dhe me pas klikojme Advanced.

3. Ne kutine e dialogut Advanced selektojme ato principe sigurie dhe te drejta ne listen qe shfaqet (tek Permission Entries) dhe me pas klikojme Edit.

4. Tek Kutia e dialogut te Permission Entries per objektin, selektojme tabin Object per te pare te drejtat speciale objektin qe I eshte vendosur nje princip sigurie. Zgjedhim tabin Property per te pare te drejtat speciale per property-te qe I jane vendosur spricipit te sigurise.



Perkatesia e Objekteve

Kur nje objekt krijohet, perdoruesi qe e krijon objektin merr automatikisht perkatesine e objektit. Administratoret krijojne dhe kane perkatesine e shumices se objekteve ne Active Directory dhe ne serverat e rrjetit. Perdoruesit krijojne dhe kane perkatesine e skedareve te te dhenave ne direktorite e tyre dhe ne disa skedareve te te dhenave qe ndodhen ne servera te rrjetit. Perdoruesit apo administratoret qe kane perkatesine e objekteve, kontrollojne se si te drejtat vendosen tek objekti dhe se kujt i jepen keto te drejta.

Perkatesia mund te jete e :

Administratorit. Grupi i administratoreve ka perkatesine e skedareve dhe objekteve. Ky si grup ka te drejten Take Ownership of Files or Other Objects

Cdo perdorues ose grup qe ka perkatesine e te drejtave tek objekteve. Ne rastin kur kane te drejten e Take Ownership.

Nje perdorues qe ka te drejtat e perdoruesve Restore Files and Directories.

Ne sistemet Active Directory mund te specifikohen kuotat ne menyre qe te kontrollohet numri i objekteve qe nje princip sigurie mund te permbaje ne nje particion direktorie te caktuar. Kuotat e Active Directory mund te ndihmojne ne parandalimin e mohimit te sherbimit qe mund te ndodhi nese nje princip sigurie krijon objekte gjersa domain controlleri i cili ndikohet nga ky princip nuk ka me hapsire. Perdoruesit qe bejne pjese ne grupet Domain Administrators dhe Enterprise Administrators jane te perjashtuar nga kuotat. Ne disa raste, nje princip sigurie mund te mbulohet nga disa kuota sic jane kuotat qe I caktohen perdoruesve dhe kuotat qe I caktohen grupeve ku bejne pjese keto perdorues. Ne kete rast, kuota evektive eshte kuota qe ajo kuota qe ka madhesine me te madhe tek principi i sigurise. Nese nje principi sigurie nuk i caktohet nje kuote, nje kuote automatike i vendoset principit te sigurise. Nese nje kuote standarte nuk i vendoset ne menyre automatike nje particini, atehere particioni nuk ka limit. Particioni i skemes perjashtohet nga kuotat.

Per te krijuar dhe mirembajtur kuotat ne Active Directory, ne duhet te perdorim komandat dsadd quota, dsmod quota, dhe dsquery quota.

Si ndikon anetaresimi ne grupe tek kontrolli i aksesit

Nje princip sigurie mund te jete anetare i disa grupeve, secili me te drejta te ndryshme qe ofron nivele te ndryshme aksesi tek nje objekt. Kur ne vendosim nje te lloj aksesi apo te drejte tek nje princip sigurie per te aksesuar nje objekt dhe ky princip sigurie eshte anetare i nje grupi tek i cili eshte vendosur nje akses i ndryshem, e drejta apo aksesi i principit te sigurise do te jete kombinimi i principit te sigurise dhe i grupit. Per shembull, nese nje perdorues ka te drejta Read dhe eshte anetare i nje grupi me te drejta Write, atehere perdoruesi do te kete te drejta Read dhe Write. Kur ne i caktojme te drejtat nje grupi, ne duhet te percaktojme se cilet perdorues ndikohen nga keto te drejta.

Grupet ose perdoruesit qe kane te drejta Full Control per nje dosje mund te fshijne skedare dhe nendosje brenda dosjes tek e cila ato kane te drejta te plota.



Si ndikon trashegimia tek kontrolli i aksesit

Ka dy menyra se si i vendosen te drejtat nje objekti: Duke i vendosur te drejtat ne menyre eksplicite dhe duke ia vendosur te drejtat ne menyre jo te drejtperdrejte nepermjet trashegimise.

Te drejtat qe vendosen ne menyre eksplicite percaktohen direkt tek objekti nga ai qe ka perkatesine e objektit.

Te drejtat vendosen nepermjet trashegimise zakonisht kalojne nga nje objekt prind tek nje objekt femije. Te drejtat e trasheguara lehtesojne punen e menaxhimit te te drejtave dhe sigurojne vazhdueshmeri te te drejtave tek te gjithe objektet qe ndodhen nen nje kontenier (tek i cili vendosen te drejtat dhe mund te quhet objekti prind), dhe ne kete menyre nuk kemi nevoje te vendosim te drejtat tek cdo objekt brenda ketij kontenieri.

Shembull

Ne figuren 3 meposhte, shikojme se nese ne vendosim te drejta Full Controll tek grupi Sales Group, te drejtat trashegohen tek objektet femije qe ndodhen ne njesine East OU, qe jane Chicago OU dhe Columbus OU, dhe tek objektet e tyre respektive. Te drejtat per Sales Group vendosen ne menyre eksplicite (qe do te thote qe ia vendosim ne te drejtat qe duam ti japim), ndersa te drejtat per objektet femije trashegohen nga te drejtat e Sales Group.

Figura 3. Te drejtat te vendosura per objektet prind trashegohen nga objektet femije

Pasi vendosim te drejtat tek nje objekt prind, objektet femije qe jane te krijuar tek objektet prind trashegojne te drejtat qe i caktohen objektit prind.

Ka tre tregues me ane te te cileve ne dallojme te drejtat e trasheguara

Kutite checkbox te te drejtave qe jane ngjyre gri Keto checkboxe ndodhen ne tabin Security te kutise se dialogut Properties te nje objekti sic tregohet ne figuren 1. Per sa i perket te drejtave qe ndodhen tek Permission Entry te nje objekti, keto checkboxe tregohen ne figuren 2. Nese nje e drejte trashegohet, nje kuti checkbox zakonisht behet ngjyre gri qe



tregon qe nuk mund te ndryshohet. Nderkohe qe ne rastin e te drejtave speciale, ngjyra gri tek keto checkboxe nuk tregon te drejta te trasheguara.

Kolona Inherited From Kjo kolone ndodhet tek lista e Permission Entries ne kutine e dialogut Advanced Security Settings si ne figuren 4 meposhte. Nese nje e drejte trashegohet, emri i objektit prind shfaqet.

Kur nuk shfaqet butoni Remove Ky buton ndodhet ne kutine e dialogut Advanced Security Settings ne figuren 4 si meposhte. Nese nje e drejte trashegohet, butoni Remove nuk mund te perdoret sepse e drejta duhet te hiqet tek objekti prind.

Figura 4. Kutia e dialogut Advanced Security Settings

Te drejtat Effective Permissions

Te drejtat Effective Permissions jane te gjithe te drejtat qe nje princip sigurie ka tek nje objekt duke perfshire anetaresimin ne grupe dhe trashegimine nga objektet prind. Per te pare keto te drejta duhet te ndjekim proceduren e meposhtme:

Klikojme Start Administrative Tools Active Directory Users and Computers. Ne menune View zgjidhim Advanced Features dhe me pas klikojme me te djathten tek nje objekt tek i cili duam ti shikojme keto te drejtat dhe klikojme Properties.

Ne kutine e dialogut Property klikojme tabin Security dhe me pas klikojme Advanced Tek kutia e dialogut Advanced Security Settings klikojme tabin Effective Permission dhe

me pas klikojme Select. Tek kutia e dialogut Select User, Computer, or Group shkruajme emrin e objektit tek kutia

Enter the Object Name to Select dhe me pas klikojme OK. Checkbox I selektuar tregon te drejten Effective Permission per perdoruesin ose grupin per objektin ashtu sic tregohet ne figuren e meposhtme:



Figura 5. Effective Permissions Tab

Administrimi i Speccial Permissions

Te drejtat standarte qe vendosen ne tabin Security zakonisht mjaftojne per shumicen e puneve administrative. Gjithsesi nese do te na duhet te caktojme te drejtat speciale, ne duhet ti vendosim ato ne kutine e dialogut Advanced Security Settings per nje objekt qe aksesohet duke perdorur konsolen Active Directory Users and Computes.

Per te vendosur keto tip te drejtash duhet te ndjekim hapat e meposhtme:

Klikojme Start Administrative tools Active Directory Users and Computers, klikojme menune View, zgjedhim Advanced Features. Klikojme me te djathten tek objekti e duam te vendosim Special Permissions dhe klikojme Properties.

Ne kutine e dialogut Properties klikojme tabin Security dhe me pas klikojme Advanced. Ne kutine e dialogut Advanced kemi dy mundesi:

o Per te vendosur te drejta speciale per nje princip sigurie klikojme Add. Ne kutine Enter The Object Name To Select shkruajme emrin e principit te sigurise dhe me pas klikojme OK.

o Per te ndryshuar te drejtat speciale per nje objekt, klikojme hyrjen qe duam te ndryshojme ne listen Permission Entries dhe me pas klikojme Edit.

Ne kutine e dialogut Permission Entry te objektit mund te ndryshojme nje te drejte speciale ne tabin Object and Properies.

Ne kutine e dialogut Advanced Security Settings per objektin klikojme OK Ne kutine e dialogut Properties klikojme OK.


leksion 9 administrimi i objekteve te ad dhe kontrolli i akseseve

Documents