Editorial

De ce ghid?
Ionu Blan
Chief of Software Testlab
CHIP Computer & Communications
ionut_balan@chip.ro
S uplimentul de fa este primul dintr-o serie mai ampl
pe care editura Vogel Burda Communications dorete
s vi le ofere alturi de revista CHIP. Ne-am gndit c este
cea mai bun modalitate prin care putem s rspundem
cererilor dumneavoastr i s v oferim informaii de-
taliate despre modul n care se poate folosi optim un
anumit produs software. Vei putea gsi aici ci prin care
s rezolvai diferite scenarii de lucru i sfaturi care s v
foloseasc atunci cnd dorii s explorai scenarii noi.
Am ales s ncepem cu Windows Server 2008 pentru
c este un produs de generaie nou, lansat de curnd, ce
s-a schimbat semnificativ de la o versiune la alta. n plus,
numrul mare de participani la evenimentul de lansare
n Romnia (peste 1200) ne face s credem c piaa local
este interesat de ct mai multe informaii legate de Win-
dows Server 2008.
Putei folosi acest ghid pentru a intra n contact cu
cteva din elementele noi pe care Windows Server 2008 le
aduce sau putei s l folosii pentru a crea i experimenta
o structur minimal pentru managementul drepturilor
de acces n cadrul unei reele. Vei putea gsi informaiile
de baz pe care un administrator de reele Windows tre-
buie s le aib. Peste ele construii singuri.
Credem c va fi o modalitate simpl i incitant prin
care s v testai i extindei cunotinele n domeniu. L-am
fcut de dimensiuni mici ca s l putei lua cu dumneavoastr
atunci cnd va fi necesar. Dac v este de folos sau nu,
dumneavoastr decidei. Noi am fcut primul pas! 

3 MAI 2008 | SUPLIMENT CHIP |

Cuprins

Ghid de utilizare

6
Cuvnt nainte
Scenarii de utilizare pentru Windows Server 2008
i 9 motive pentru a migra ctre noua versiune.

8
Instalare
Windows Server 2008
Paii necesari pentru o instalare de baz a lui Win-
dows Server 2008. Sfaturi pentru un deployment
reuit.

10
{Virtualizare} n
Windows Server 2008 x64
Cum se instaleaz i se folosete rolul Hyper-V.
Sfaturi despre cum se instaleaz un server virtu-
alizat.

| CHIP SUPLIMENT | MAI 2008 4

 Cuprins

14
Instalarea i configurarea unui
Domain Controller
Paii ce trebuie parcuri pentru a crea o
structur Active Directory folosind rolul Active
Directory Domain Services.

20
Instalarea i configurarea
rolurilor DHCP i NAP
Alocarea dinamic de adrese i crearea unor
politici de protecie n cadrul reelei.

28
Partajarea de resurse n
Windows Server 2008
Instalarea rolurilor File i Print Services i setri
minimale pentru folosirea opiunilor quota pe
serverul de fiiere.

30
Roluri i opiuni
17 roluri i 35 de opiuni disponibile n Windows
Server 2008.

5 MAI 2008 | SUPLIMENT CHIP |

9
motive pentru a
migra ctre Windows
Server 2008
1. Consolidarea serverelor i
optimizarea resurselor:
Hyper-V
Multe servere au un grad de n-
crcare ce rareori depete 80-
90%. Cu Hyper-V se poate face o
consolidare a lor n aa fel nct
s creasc gradul de ocupare a
resurselor. Prin intermediul virtu-
alizrii, timpul de rspuns n faa
noilor provocri va mai scurt.

2. Flexibilitatea accesului la
aplicaii pentru utilizatorii
remote: TS RemoteApp
Windows Server 2008 vine cu
inovaii i mbuntiri la nivelul
Terminal Services. Una dintre ele
este cea care le permite utilizato-
rilor s acceseze ntr-un terminal
server o aplicaie i nu un desktop
(TS RemoteApp).
3. Instalare modular:
Server Core
Multe servere funcioneaz doar
cu un singur rol i acela este mis-
sion-critical n cadrul reelei. Noua
opiune de instalare Server Core
permite instalarea ntr-un mediu
minimal, cu o mai bun acoperire
a resurselor hardware i cu o su-
prafa redus de atac.
4. Furnizarea de coninut
i aplicaii web mai bogate:
IIS 7.0
Odat cu creterea complexitii
aplicaiilor web, a crescut i cererea
pentru serverele capabile s ofere
astfel de coninut. IIS 7.0 se achit
bine de aceast sarcin oferind
coninut dinamic, stream-uri me-
dia, pagini ASP i PHP.
5. Performan mai bun
de reea: noul stack TCP/IP
Eciena utilizrii limii de band
are un impact direct asupra pro-
ductivitii utilizatorilor din locaii
remote care trebuie s acceseze
Cuvnt {nainte}
A
colo unde exist mai mult de dou calculatoare, este aproape
inevitabil constituirea unei reele. Or n momentul de fa chiar
i n casele noastre exist mai mult de dou PC-uri conectate la inter-
net. Iar cnd vine vorba despre mediul de afaceri, aproape c nu mai
exist firm (orict de mic ar fi) care s nu aib constituit o reea de
calculatoare n care mai muli utilizatori i disput drepturile de acces
la internet, imprimant sau fax.
De aici i pn la necesitatea unei structuri clare a reelei, cu o evi-
den real a tuturor operaiilor ce se realizeaz prin reea i a dreptu-
rilor de acces pe care fiecare membru le are, nu este dect un mic pas.
Spunem mic pentru c la un moment dat necesitatea structurrii co-
recte a serviciilor i a drepturilor din cadrul reelei va aprea ca natural,
iar principiul optimizrii resurselor va deveni un criteriu important de
selecie a eventualelor soluii. Imediat ns dup contientizarea acestei
nevoi vor aprea problemele legate de cine face, ce va face, cum se va face,
cine se va ocupa, pe ce criterii, ce soluii vom folosi, ct ne cost etc.
Rspunsul nu este niciodat simplu i necesit o analiz riguroas
a activitilor ce se desfoar prin reea. Abia pe urm, pe baza rs-
punsului la aceste ntrebri, va fi posibil s se structureze o schem
primar de funcionare ce mai apoi s fie mbrcat sub forma unor
servere i sisteme de protecie/acces.
n acest ghid vei gsi informaiile necesare pentru instalarea i con-
figurarea serviciilor minimale pe care orice firm ar trebui s se bazeze
atunci cnd i desfoar activitatea folosind noul Windows Server
2008. Am plecat de la un scenariu de baz ce poate fi aplicat de oricine
dorete s aib un minim de control asupra a ceea ce se ntmpl n

| CHIP SUPLIMENT | MAI 2008 6

 Workshop

9
motive pentru a
propria reea. Mai exact, vei vedea cum se configureaz un server ca-
migra ctre Windows
pabil s ofere adrese IP calculatoarelor din reea, o structur eficient
Server 2008
de control al accesului utilizatorilor reelei prin Active Directory n
combinaie cu noile servicii NAP (Network Access Protection), cum serverele centrale. Noul stack de
comunicaie din Windows Server
se instaleaz serviciile de partajare de directoare i de imprimant n este optimizat pentru scenarii re-
cadrul reelei guvernate de serverul nostru. mote, negociind mai bine cererile.
Politicile de securitate i recomandrile pentru practici optime nu n combinaie cu Windows Vista,
pe scenarii remote se pot obine
recomand instalarea pe acelai server hardware a tuturor elementelor performane mult crescute.
de mai sus. n plus, pot aprea deseori probleme n funcionare. Prin
urmare este necesar folosirea a cel puin dou configuraii hardware 6. Blocarea accesului n reea:
NAP
pentru a putea rula cu succes.
Cu un numr tot mai mare de
Windows Server 2008 vine ns cu o noutate semnificativ n aceast
dispozitive mobile ce acceseaz
direcie: versiunea pe 64 de bii are inclus un serviciu de virtualizare reeaua intern a companiei devine
(Hyper-V, ntr-o variant de test, versiunea final fiind ateptat n tot mai dicil s se menin n or-
dine politicile de securitate. Net-
urmtoarele luni) prin intermediul cruia este posibil consolidarea
work Access Protection intervine i
serverelor i astfel reducerea costurilor asociate unui astfel de scenariu. aduce un grad sporit de securitate,
Cum majoritatea serverelor actuale au un grad de utilizare ce rareori blocnd automat acele dispozitive
ce nu ntrunesc cerinele minime
depete 80% din capacitate, devine atractiv ideea completrii lor cu
de securitate i update-uri.
servicii capabile s le asigure o ncrcare mai bun.
Foarte multe firme au instalat deja (sau se gndesc la achiziionarea 7. Colaborarea sigur: Active
unuia) un calculator pe post de server ce poate fi uor transformat ntr-o Directory Federated Rights
Management
soluie performant de consolidare a tuturor serviciilor de care au ne-
Companiile ce trebuie s partajeze
voie. Mai mult, n scop educaional, fiecare dintre noi poate testa un informaiile cu diveri parteneri vor
astfel de scenariu. s pstreze totui controlul asupra
Dorim ca acest ghid s fie folosit ca o modalitate simpl de a intra lor: cine le poate accesa, n ce mod,
ce tipuri de documente, dac pot
n contact cu noile tehnologii oferite de Windows Server 2008 i ca un sau nu tiprite sau copiate.
instrument util pentru oricine, prin care s nvee cum se instaleaz i
configureaz un server Windows. 8. Conectarea mediilor
eterogene
Lectur plcut.
Windows Server 2008 include Sub-
system for UNIX-based Applica-
tions (SUA), un sistem multiuser
Configuraie hardware recomandat: similar UNIX prin care se pot aplica
mai mult de 300 de comenzi, utili-
Microsoft ofer informaii despre configuraiile mini- tare i script-uri.
male pe care serverele hardware trebuie s le ntruneasc
pentru a funciona eficient i pe baza lor se poate lua o 9. Administrare, management
i automatizare mai simple:
decizie informat. ns nu ntotdeauna o configuraie Server Manager i PowerShell
minimal poate rspunde tuturor cerinelor. Pe baza Consola de administrare Server
testelor fcute de noi o configuraie hardware mai mult Manager ofer o interfa unitar
dect suficient pentru scenariul prezentat mai sus se pentru cele mai importante ope-
raii de congurare i administrare
poate baza pe un procesor Quad Core Intel Xeon 1,6 a serverului Windows. Sunt aate
GHz, 4 sau 8 GB RAM n funcie de complexitatea servi- i informaii importante despre
ciilor i nivelul de trafic, hard disk de 400 GB eventual n starea sistemului, cu toate pro-
blemele ntlnite.
RAID, dou plci de reea Intel Pro 10/100/1000 LAN.

7 MAI 2008 | SUPLIMENT CHIP |

Instalare Windows Server 2008
S pornim la treab. Primul lucru pe care l vom nva este s punem pe picioare primul server
Windows 2008. Presupunem c exist deja disponibil configuraia hardware necesar i avem la
ndemn un DVD boot-abil cu kit-ul Windows Server 2008 x64 (o versiune trial poate fi obinut de
la adresa: http://www.microsoft.com/downloads/details.aspx?FamilyId=13C7300E-935C-415A-A79C-
538E933D5424&displaylang=en).

1. Selecia limbii de instalare,

a datei i a formatului
de tastatur
Primul lucru pe care l vom face dup ce a pornit
instalarea de pe DVD este s ne alegem limba n
care va fi prezentat instalarea. Kit-ul de limba
englez ofer implicit doar posibilitatea de in-
stalare cu interfaa n limba englez. Se pot ns
schimba setrile legate de formatul datei i al de-
limitatorilor de valut, precum i cele legate de
tastatur. n cazul de fa optm pentru instalarea
personalizat pentru Romnia.

2. Alegerea partiiei
n urmtoarea fereastr apsm butonul Install
i ateptm cteva secunde. Va fi prezentat o
fereastr de dialog de unde putem selecta versiu-
nea lui Windows Server 2008 pe care o dorim. n
concordan cu scenariul nostru vom alege Win-
dows Server 2008 Enterprise (Full Installation) i
trecem la pasul urmtor.
Presupunnd c avei un hard disk curat, vei
observa c este activ doar opiunea de instalare
Custom (advanced). Clic pe ea i alegei hard dis-
kul/partiia pe care se face instalarea. Putei s l
folosii n totalitate sau doar o anumit partiie. n
teorie, 10 GB sunt suficieni pentru instalare, dar
recomandarea Microsoft specific un spaiu liber
de 40 GB. n exemplul de fa am ales s folosim o
partiie de 24 GB pe care o vom ocupa n totalitate
cu sistemul de operare.

| CHIP SUPLIMENT | MAI 2008 8

 Workshop
3. Setarea parolei
Implicit, Windows Server 2008 necesit folosirea
unei parole puternice: cel puin ase caractere al-
fanumerice i semne speciale. La prima pornire
suntem ntmpinai de un mesaj de atenionare
prin care suntem invitai s setm parola pentru
contul administrator. Dup introducerea parolei
(complexe), ne este permis prima autentificare.

4. Primele elemente de configurare

Fereastra Initial Configuration Tasks ofer un mod simplu de a intra n contact cu Windows Server
2008. Putei vedea c este organizat logic pe trei categorii de operaii: Provide computer information,
Update this Server i Customize this Server. Prima ofer posibilitatea efecturii rapide a unor setri
preliminare legate de zona de fus orar, parametrii
plcii/plcilor de reea i asocierea la un domeniu.
Va trebui s inei seama de elementele specifice
mediului n care instalai serverul i pe baza lor s
facei setrile de rigoare (unde se gsete serverul,
ce IP-uri vei aloca pentru fiecare plac de reea n
parte). Tipic pentru un server este alocarea a dou
IP-uri, unul intern reelei i unul extern.
Update this server este o zon nou i foarte
important pentru Windows Server 2008. n
primul rnd pentru c nc de la nceput sunt oferite
informaiile legate de modul n care serverul va aduce
i instala update-urile. Indicat este ca imediat dup
instalare i conectarea la internet s realizai un update ce poate nu numai s rezolve eventuala lips a unor
driver-e, ci i s aduc unele patch-uri critice (nu este cazul n momentul de fa, dar pe viitor este o posibilitate).

5. Instalarea driver-elor Specificaie Microsoft: cerine hardware

n situaia n care au rmas elemente hardware ce Windows Server 2008 poate fi instalat pe un sistem
nu au fost instalate automat va trebui s folosii ce respect urmtoarele cerine hardware:
CD-ul cu driver-ele pentru placa de baz, de CPU: minim 1 GHz, recomandat 2 GHz sau
reea sau video i s preluai de acolo driver-ele mai rapid
corespunztoare. RAM: minim 512 MB, recomandat 2 GB sau
FELICITRI: n momentul de fa ai pus pe mai mult
picioare primul server Windows 2008. n capi- Spaiu minim 10 GB, recomandat 40 GB sau
tolul urmtor o s vedem cum se adaug rolurile pe disc: mai mult
i funciile pe care el le va ndeplini n reeaua DVD-ROM
noastr.

9 MAI 2008 | SUPLIMENT CHIP |

n acest articol:

Cum se instaleaz rolul Virtualizare n Windows

Hyper-V
Cum se creeaz o main
Server 2008 x64
virtual
Instalarea Windows Server
U nul dintre cele mai importante elemente de noutate pe care Win-
dows Server 2008 le aduce este Hyper-V. Dei este doar o versiune
de test, posibilitatea de virtualizare (ce folosete opiunile hardware de
2008 folosind Hyper-V
virtualizare din procesoarele de generaie nou) permite consolidarea
serverelor, facilitnd o administrare mai simpl i totodat economii
importante legate de investiia n hardware i, nu n ultimul rnd, de
consumul de energie. n plus, interfaa grafic a Hyper-V este intuitiv
i poate fi folosit la capacitate maxim de oricine tie cum se utilizeaz
o soluie de virtualizare.

1. Adugarea rolului {Hyper-V}

Varianta final a lui Windows Server 2008 x64 conine o versiune de
test pentru serviciul de virtualizare Hyper-V. n fapt, Hyper-V vine s
nlocuiasc soluia standalone Virtual Server i aduce cu sine integrarea
direct n kernel. Toate serverele ce sunt dotate cu procesoare cu suport
hardware pentru virtualizare (Intel VT i AMD-V) vor putea folosi Hy-
per-V, dar numai dac au instalat versiunea pe 64 de bii a lui Windows
Server 2008.
SFAT:
Pn la nalizarea produsului Hy-
per-V (conform spuselor Microsoft,
n maxim 180 de zile de la lansarea
lui Windows Server 2008) suntem
nevoii s folosim versiuni de test. n
momentul redactrii acestui ghid,
era disponibil pentru download
Hyper-V RC0 la adresa: http://www.
microsoft.com/downloads/details.
aspx?FamilyId=DDD94DDA-9D31-
4E6D-88A0-1939DE3E9898&displ
aylang=en

Pornii interfaa de configurare Server Manager, de acolo folosii co-

manda Add roles pentru a da drumul vrjitorului de instalare i bifai
rolul Hyper-V. Selectai conexiunile de reea ce vor fi folosite implicit

| CHIP SUPLIMENT | MAI 2008 10

 Workshop
SFAT:
Este indicat ca pe serverul zic,
pe hard disk s avei cel puin
dou partiii n afara celei care
conine sistemul de operare (sau
nc dou hard diskuri, depinde
de necesitile dumneavoastr).
Motivul este c pentru ecare
main virtual pe care o instalm
vom folosi o partiie separat (mai
uor de organizat i, n eventu-
alitatea apariiei unor probleme,
informaia nu va deteriorat). Ca
s v e i mai uor, denumii cele
dou partiii DC (Domain Control-
ler) i FS (File Server). La nivelul
spaiului disponibil ar indicat s
avei cel puin 40 GB pentru ecare
dintre cele dou servere, dar dac
pe Domain Controller se va folosi i
rolul de partajare de iere, trebuie
s luai n considerare o dimen-
pentru a lega reelele virtuale introduse de Hyper-V. Este indicat s legai siune mai mare (adugai suma
conexiunea Ethernet pe acea plac de reea ce ofer cea mai mare vitez spaiului maxim pe care dorii s l
i aceasta s fie asociat legturii externe a serverului fizic (acea plac poat folosi ecare dintre utilizato-
rii domeniului dumneavoastr).
fizic ce este conectat direct la internet). Terminai procesul prin clic pe
Install i apoi repornii serverul pentru ca noul rol s devin activ.

2. Configurarea mainii virtuale

Avnd instalat rolul de virtualizare Hyper-V o s trecem la configurarea
setrilor pentru primul nostru server (Domain Controller). Pornii con-
sola Server Manager, dai clic pe Roles, Hyper-V i apoi pe Hyper-V Ma-
nager. V va fi prezentat un acord de folosire (EULA) pe care v sftuim
s l citii cu atenie i s l aprobai dac nu ai detectat probleme care s
intre n dezacord cu politica dumneavoastr de liceniere.
n partea dreapt a ferestrei de configurare vei vedea o serie de link-
uri grupate n Actions. Ca s crem serverul Domain Controller de care
avem nevoie, vom da clic pe New i apoi Virtual Machine. Pornete
imediat un vrjitor care o s ne asiste n procesul de stabilire a setrilor
pentru serverul nostru. Dm un nume mainii virtuale (Ex: DC) i
bifm opiunea Store the
virtual machine in a differ-
ent location pentru a putea
seta manual calea ctre
locaia unde vor fi pstrate
fiierele de configurare
i informaiile legate de
maina virtual. n cazul
nostru vom naviga ctre

11 MAI 2008 | SUPLIMENT CHIP |


SFAT:
n msura n care considerai c v
este mai uor s identicai mai
simplu pe serverul zic conexiunile
la reea, putei s le schimbai de-
numirile generice din Local Area
Connection n Extern (pentru cea
legat direct la internet) i Intern
(pentru placa de reea conectat la
reeaua intern).
| CHIP SUPLIMENT | MAI 2008
partiia pe care am denu-
mit-o DC i care are asociat
litera F. Urmtorul pas este
cel n care vom seta cantitatea
de memorie fizic pe care
maina virtual o va folosi.
Pentru un Domain Control-
ler cu funcii DHCP i File
Sharing ar fi indicat s alocai
aproximativ 2 GB RAM
(2048 MB). n urmtoarea
fereastr avei posibilitatea s
alegei conexiunea de reea
pe care serverul o va folosi. n
prim faz o vei alege pe cea
conectat direct la internet.
Acum este cazul s specificm
dimensiunea maxim pe care o
va avea hard diskul virtual folosit
de serverul nostru DC. Indicat
este s setai o valoare mai mic
dect spaiul total disponibil. Fe-
reastra urmtoare ofer setrile
necesare instalrii sistemului
de operare. Dac avei pregtit
DVD-ul (sau fiierul .ISO ce
conine imaginea) cu Windows
Server 2008 x64 putei selecta
Install an operating system from
a boot CD/DVD-ROM urmnd
ca apoi s alegei mediul de pe care se va porni instalarea (imagine .ISO
sau unitatea fizic).
n final se verific setrile i, dac totul este n regul, se poate porni
instalarea.
3. Instalarea lui {Windows Server 2008}
pe post de Domain Controller
n maina virtual
Procesul de instalare a unei noi sesiuni Windows Server 2008 x64
n maina virtual este similar celui prezentat n articolul precedent.
Singura diferen este aceea c nu lucrm ntr-o main fizic, ci n
una virtual. Dup prima pornire a mainii virtuale, va trebui instalat
12
 Workshop
SFAT:
Putei specica diferite valori le-
gate de procentajul minim alo-
cat mainii virtuale i cel maxim
al resurselor zice. Din meniul
Settings, Processor se specic
procentul minim de resurse alocat
mainii virtuale i pe cel maxim.
Atunci cnd pe un server cu rol
Hyper-V ruleaz mai multe maini
virtuale, ar bine ca suma valorilor
minime alocate s nu depeasc
100%.

Integration Services Setup Disk (setul de driver-e

optimizate pentru placa de reea, placa video din
maina virtual).
Este posibil ca driver-ele s nu fie instalate co-
rect, situaie n care va trebui forat instalarea: clic
dreapta pe My Computer, Properties, Device Man-
ager selectai componenta bucluca i apoi clic
dreapta, update driver software.

4. Fine tuning pentru serverul

Domain Controller
Este cazul s facem cteva setri de finee pentru
serverul care va gzdui Domain Controller-ul nos-
tru. nchidei maina virtual (shut down) i apoi
din meniul File alegei Settings. Dai clic pe Proces-
sor i modificai numrul de core-uri pe care le vei
aloca acestei maini virtuale. n cazul de fa am
ales s alocm dou core-uri.
Acum vom mai aduga o component hardware
pentru serverul nostru Domain Controller: cea de-a
doua plac de reea. Din File, Settings selectai Add
Hardware, Network Adapter i Add. Apoi, mapai
placa de reea pe conexiunea fizic intern a serveru-
lui Hyper-V. Dup operaia aceasta avem pregtit un
server Windows 2008 pentru a-l transforma ntr-un
Domain Controller pentru reeaua noastr.

13 MAI 2008 | SUPLIMENT CHIP |

n acest articol:
Cum se instaleaz rolul
Domain Controller - Active
Directory Domain Services
Promovarea DC
Crearea conturilor de utiliza-
tori din Active Directory
SFAT:
nainte de a trece la instala-
rea unui Domain Controller pentru
organizaia dumneavoastr, este
indicat s v schiai structura orga-
nizaional intern i pe baza ei s
creai o schem de domeniu (aa-
numitul domain tree). Se pleac
de la numele de domeniu pe care
l avei asociat unui IP static (s
lum ca exemplu vortal.ro) i pe
el se poate construi o structur.
Tot ca exemplu s zicem c avem
n organizaie patru departamente
(Testare, Productie, Contabilitate,
Vanzri), pe care le vom putea
mapa pe o structur testare.vortal.
ro, productie.vortal.ro, contabili-
tate.vortal.ro, respectiv vanzari.
vortal.ro. Pe ecare dintre aceste
subdomenii este posibil s se
extind schema funcional.
| CHIP SUPLIMENT | MAI 2008
Instalarea i configurarea
unui Domain Controller
D e fapt i de drept, principalul motiv pentru care cineva se va orienta
ctre instalarea unui Windows Server ca manager pentru drep-
turile din reea este rolul de Domain Controller. Pe scurt, cu ajutorul
rolului Domain Controller se poate instala i folosi serviciul Active Di-
rectory, care la rndul su faciliteaz o eviden structurat (cu drepturi
de acces specifice) a tuturor utilizatorilor i a staiilor care particip
n reea. Structura organizaional a fiecrei companii devine mai uor
de transpus ntr-o structur logic de distribuire a drepturilor pentru
fiecare departament/staie de lucru/utilizator.
Active Directory servete dou scopuri. n primul rnd, este depozi-
tul central pentru informaiile legate de utilizatori, grupuri i staii, iar
n al doilea rnd structura ierarhic poate fi extrem de uor replicat la
nivelul subgrupurilor organizaionale. Privit ca o baz de date, struc-
tura Active Directory (specific serverelor Windows) are i un index:
adic ceea ce se regsete sub denumirea de global catalog (GC). n
plus, structura Active Directory (AD) este extensibil, fapt ce i aduce
o mare flexibilitate, atunci cnd este nevoie schimbrile fiind propagate
automat de-a lungul ntregii structuri.
Haidei s vedem cum se poate instala cu un nivel primar de
funcionalitate un server Domain Controller.
1. Setri
preliminare
Fiind vorba despre un server
virtualizat, este necesar s fa-
cem cteva setri preliminare.
n primul rnd, asigurai-v c
plcile virtuale ale serverului
nostru (ai vzut n articolul
precedent cum se instaleaz)
sunt mapate corect peste cele
fizice ale serverului Hyper-V.
Apoi, verificai dac plcile
de reea fizice de pe serverul
Hyper-V au debifat opiunea
(Network and Sharing Center,
Manage Network Connections, placa de reea, clic dreapta, Properties)
Internet Protocol version 4 i 6.
Apoi, pornii Network and Sharing Center din serverul virtual i
14
 Workshop
SFAT:
Putere maxim: vericai dac att
pe serverul Hyper-V, ct i n server-
ul virtual avei setate opiunile de
High performance la Power Options
din Control Panel. Vei obine maxi-
mul de performan pentru ser-
vere, dar nu vei putea benecia de
opiunile de conservare a energiei.
Alegei cu grij varianta pe care o
vei urma pentru ca ulterior s nu
avei probleme de performan.
Trebuie s tii c setrile din Power
Options pot modicate oricnd.

alocai IP-urile corespunztoare plcilor de reea: pe placa extern

asociai IP-ul extern al domeniului dumneavoastr, iar pe cea conectat
la reeaua intern asociai un IP intern (ex: 192.168.2.1).

Verificai dac funcioneaz conexiunile la reea prin comanda ping

SFAT:
www.chip.ro pe placa extern, respectiv ping pe una din adresele staiilor
Fa de versiunile anterioare de Ac-
interne. tive Directory, serviciul ce ruleaz
n Windows Server 2008 aduce
2. Instalarea rolului DC elemente superioare de securitate
(Allow cryptography algorithms
Putem trece la instalarea rolului Domain Controller pentru serverul compatible with Windows NT 4.0),
nostru. Pornii Server Manager i Add roles. Bifai Active Directory Do- motiv pentru care este posibil ca
servicii i aplicaii mai vechi s
main Services i urmai paii propui de vrjitorul de instalare.
nu poat funciona. n acest ghid
prezentm modul de instalare a
unei instane noi de Active Direc-
tory, motiv pentru care nu trebuie
s ne ngrijorm de modul n care
se va face integrarea cu alte ver-
siuni.

15 MAI 2008 | SUPLIMENT CHIP |

SFAT:
Activarea Remote Desktop: de multe
ori este mai uor s administrm
un server de la distan dect s ne
deplasm zic lng el. Windows
Server 2008 vine cu instrumente
mai puternice de protecie a con-
exiunii remote, lucru ce l face mai
atractiv n acest scop. Din fereastra
Initial Conguration Tasks alegei
Enable Remote Desktop, bifai Al-
low connections only from the
computers running Remote Desktop
with Network Level Authentication
(more secure) i vei putea admin-
istra fr probleme serverul de la
distan. Dai clic pe Select Users i
adugai conturile ce se vor putea
conecta remote. ns doar dac
vei rula clientul Remote Desktop
Connection de pe un sistem ce
ruleaz Windows Server 2008 sau
Windows Vista.
| CHIP SUPLIMENT | MAI 2008
3. Promovarea DC
Odat terminat instalarea ro-
lului Active Directory Domain
Services, este afiat un mesaj de
atenionare prin care vi se aduce
la cunotin c trebuie instalat
serverul ca Domain Controller.
Din Server Manager, dai clic
pe Roles i apoi
Active Directory
Domain Services.
Vei vedea n fe-
reastra Summary
o atenionare de
tipul This server
is not yet running as a domain
controller. Dai clic pe Run the
Active Directory Domain Servic-
es Installation Wizard (dcpromo.
exe) i va porni un alt vrjitor.
Bifai Create a new domain in
a new forest (vom crea o instan
nou de AD) i trecei la pasul urmtor. Suntei invitai s introducei
numele de domeniu asociat structurii Active Directory. n mod normal,
vom introduce denumirea primar a domeniului pe
care am decis s l folosim (pentru acest exemplu
vom folosi denumirea de vortal.ro). Dumneavoastr
vei introduce numele domeniului pe care l avei n
administrare (putei folosi i o denumire generic
de tipul test.local dac doar dorii s testai o insta-
lare i nu avei un IP extern i un domeniu asociat).
Se va face o verificare a disponibilitii domeniului
i, dac totul este n regul, se va putea trece la pasul
urmtor, de unde selectm nivelul funcional al structurii AD (forest)
ca Windows Server 2008.
Automat este selectat i rolul DNS (Domain Name Service) pentru
instalare. Va fi responsabil pentru identificarea corect a resurselor din
reea asociate domeniului nostru. Vom fi atenionai c nu este indicat
s folosim adrese IP dinamice pe un server de tipul celui utilizat de noi.
Deoarece am fcut corect toate setrile putem rspunde cu Yes...
Vrjitorul va face verificrile necesare i, dac nu sunt detectate pro-
bleme, se poate trece mai departe. Ne este prezentat o fereastr de dia-
log n care trebuie s specificm locaiile pentru stocarea informaiilor
16
 Workshop
legate de structura SFAT:
AD creat. Putem ac- Este indicat s se foloseasc o alt
cepta propunerile. parol pentru contul Directory Ser-
vices Restore Mode Administrator
Suntem acum dect cea folosit pentru admin-
invitai s intro- istrarea serverului. La rndul ei,
ducem o parol i aceasta trebuie s ntruneasc
criteriile standard de complexitate
(complex!) pen- din Windows Server 2008.
tru contul de ad-
ministrator asociat
Directory Services
Restore Mode. El va
fi de folos n cazul
n care controller-
ul de domeniu va fi
pornit n modul de
siguran Directory Services Restore Mode.
Clic pe Next, ateptm finalizarea procesului de configurare i apoi
repornim serverul.

4. Opional: schimbarea numelui serverului

Implicit, fiecare instalare de Windows Server 2008 va asocia automat
un nume aleator pentru server. El poate fi schimbat din interfaa Initial
Configuration Tasks, Provide computer name and domain, tab-ul Com-
puter Name i Change. Este bine s asociai serverelor nite denumiri
pe baza crora s le putei identifica uor (ex: DC). Repornii serverul
pentru ca schimbrile s devin active.

SFAT:
Scopul domain local: se folosete
atunci cnd sunt asociate grupu-
rilor permisiuni legate de resurse
i pot alocate doar n acelai
domeniu.

17 MAI 2008 | SUPLIMENT CHIP |

SFAT:
Un utilizator de Active Directory
poate face parte din mai multe
grupuri. Implicit ns el va asociat
doar grupului Domain Users.
| CHIP SUPLIMENT | MAI 2008
5. Crearea conturilor i grupurilor n
structura {Active Directory}
Pe baza structurii organizaionale se poate trece la crearea conturilor i
grupurilor din cadrul Active Directory. Pornii Server Manager, dai clic
pe Roles, Active Directory Users and Computers i vei vedea c exist
cinci subdirectoare. n cazul unei funcionaliti primare, aa cum am
instalat serverul pn n acest moment ne vor interesa doar Computers
i Users.
Computers va conine informaiile legate de staiile ce se conecteaz
n reea i se vor autentifica n schema Active Directory, iar Users va
conine identificatorii pentru
conturile utilizatorilor de Active
Directory. Este foarte simplu s
asociem utilizatorii de AD care
au n comun anumite elemente
(de locaie, de securitate etc.) n
cadrul unui grup. Selectai Users
i apoi clic dreapta n fereastra Users i New Group pentru a crea un
grup de utilizatori.
S presupunem c dorim s crem un grup de utilizatori care au
n comun faptul c lucreaz n departamentul de testare al unei firme.
Vom specifica numele Testare, selectm scopul Global i ca tip de grup
vom specifica Security (grupul tocmai creat este constituit pe criterii
18
 Workshop
SFAT:
Conectarea la un serviciu Active
Directory folosind Windows Vista
se face foarte simplu. De pe staia
folosit de un anumit utilizator dai
clic dreapta pe My Computer, apoi
Advanced system settings, Com-
puter name i Network ID. Selectai
apoi This computer is part of a busi-
ness network; I use it to connect to
other computers at work i My com-
pany uses a network with a domain
la urmtorul pas. Introducei nu-
mele contului din AD, parola i nu-
mele domeniului dumneavoastr.
Vi se va cere un nume pentru staia
de lucru i domeniul creia i va
asociat (cel mai probabil l vei fo-
losi pe acelai cu cel din care face
parte utilizatorul). Validai setrile
i n nal alegei drepturile de ac-
ces pe care le va avea noul cont pe
staia de pe care a fost integrat n
domeniu.

de securitate i toi utilizatorii din acest grup vor beneficia de aceleai

privilegii).
SCOPUL GLOBAL: se utilizeaz pentru situaiile n care este nevoie
de gruparea utilizatorilor dup criterii similare de acces la reea. Pot
grupa utilizatori din acelai domeniu.
SCOPUL UNIVERSAL: se utilizeaz atunci cnd se vor folosi crite-
rii de acces pe mai multe domenii.
Similar vom crea acum utilizatorii din
cadrul grupului Testare. Clic dreapta n fe-
reastra Users i New User. Asociai o descriere
utilizatorului (nume, prenume, nume cont)
i n fereastra urmtoare specificai parola de
conectare. Structura Active Directory permite
folosirea unei parole unice pentru prima co-
nectare, urmnd ca fiecare utilizator s i poat
alege (dup prima conectare) propria parol.
Ulterior selectai utilizatorul creat, clic dreapta
i apoi Properties, dup care alegei cmpul Member Of i introducei
grupul din care dorii s fac parte. Putei s v alocai puin timp i s
v familiarizai cu celelalte setri ce pot fi aplicate unui utilizator din
Active Directory.
Repetai operaia pentru toi utilizatorii/grupurile de care avei nevoie.

19 MAI 2008 | SUPLIMENT CHIP |

n acest articol:
Cum se instaleaz rolul
DHCP
Cum se congureaz plaja
de adrese IP alocate staiilor
Cum se instaleaz serviciul
Network Policy and Access
Services (NAP)
Cum se congureaz accesul
pe baza politicilor
| CHIP SUPLIMENT | MAI 2008
Instalarea i configurarea
rolurilor DHCP i NAP
B una funcionare a oricrei reele de calculatoare ine de modul
n care administratorul tie s creeze structura de adrese IP i de
modul n care acestea sunt alocate staiilor. De cele mai multe ori, n
cadrul unei reele de mici dimensiuni se alege calea prin care fiecare
staie primete un IP static, fapt care asigur o identificare rapid ori de
cte ori este nevoie. Este cel mai simplu mod de a crea politici de acces
i securitate pentru staiile din domeniu (fiind vorba despre un numr
redus de IP-uri interne, administratorul tie exact, n orice moment, ce
drepturi are doamna Kati de la
Contabilitate).
Odat cu introducerea
structurii Active Directory
ntr-o reea, devine ns mult
mai simplu de meninut evi-
dena drepturilor de acces pe
baza conturilor de utilizator i
a staiilor conectate la dome-
niu. Or, ntr-un astfel de sce-
nariu (ce i permite oricrui
utilizator s se conecteze cu
contul su de pe orice staie,
beneficiind automat de toate
drepturile pe care admini-
stratorul domeniului i le-a
oferit) pare mai atractiv ideea
alocrii dinamice de IP-uri.
S lum un exemplu: s zi-
cem c exist n reea un anumit calculator pentru care s-a decis c nu
este cazul s aib acces la internet. Administratorul a blocat din firewall
accesul la internet al respectivului IP i treaba este rezolvat. Dar ce se
ntmpl dac dintr-un motiv sau altul un alt utilizator este nevoit s
lucreze la calculatorul respectiv? Ne apucm s modificm toate setrile
din firewall pentru o perioad limitat?
Mai simplu ar fi ca, pe baza contului de utilizator, n combinaie cu
serviciul de alocare dinamic a adreselor IP (DHCP), s fie posibil
crearea unei politici (cu foarte multe opiuni) ntr-un mod mult mai
simplu, care s rezolve problema. Cum ar fi ca, atunci cnd este necesar
accesul la internet, s se schimbe doar utilizatorul conectat pe domeniu
i staia respectiv s primeasc automat drepturile necesare?
20
 Workshop
SFAT:
n plus, dac n cadrul unei reele este necesar s fie introdus un
Conform politicii de securitate pe
sistem mobil (laptopul efului de exemplu) s existe un scenariu de care o vei impune reelei interne,
siguran care s se asigure c respectivul sistem este curat i c nu putei s schimbai dup preferin
prezint riscuri? i abia pe urm s i se aloce dreptul de a funciona la setul de IP folosit i numrul de
adrese alocate. De obicei, un set
parametri optimi n reea? de adrese servite prin DHCP va lua
n cele ce urmeaz, vom pune n practic aceste scenarii. Vei ve- n considerare faptul c primele x
dea ct de simplu pot fi rezolvate o serie de probleme ce altminteri ar adrese (10 s zicem) sunt alocate
serverelor din reea i respectivele
necesita multe operaii i destul de mult timp. IP-uri nu au voie s mai e folosite.
Apoi, numrul de IP-uri servite ar
1. Instalarea rolului DHCP bine s depeasc doar cu 1-3
numrul de staii ce vor benecia
Pe serverul nostru virtualizat, pornim consola Initial Configuration de ele (mai exist cazuri n care
Tasks i dm clic pe Add roles. Va porni vrjitorul de configurare din trebuie introduse n reea i alte
care bifm DHCP Server. Identificm conexiunea de reea ce va fi folosit staii).
pentru alocarea dinamic a adreselor IP pentru reeaua noastr. Aici o
selectm doar pe cea intern (creia i-am oferit
o adres 192.168.2.1). n pasul urmtor validm
setrile oferite automat de vrjitor (domeniul i
adresa IP a serverului DHCP).
Anumite topologii de reea (de obicei cele din
generaia NT) mai necesit folosirea serviciului
WINS (Windows Internet Naming Services) pen-
tru rezolvarea adreselor. Dac nu avei neaprat nevoie de el, pe scena-
riul Windows Server 2008 nu mai este o component absolut necesar.
De aceea o vom lsa dezactivat i trecem la pasul urmtor.
DHCP Scopes: n aceast etap putem stabili clasa de IP-uri pe care
serverul nostru DHCP o va servi (aloca) staiilor din reea. Clic pe

SFAT:
Putei crea mai multe seturi de
IP-uri pentru alocarea dinamic.
Opiunea este interesant atunci
cnd politicile de reea sunt com-
plexe i necesit folosirea altor
clase dect cea despre care am
discutat.

21 MAI 2008 | SUPLIMENT CHIP |

SFAT:
Testai modul de funcionare a
serverului DHCP. Pe una din staiile
din reea, conectate pe reeaua
intern stabilii ca setrile pen-
tru TCP/IP s e pe Obtain an IP
address automatically, respectiv
Obtain DNS server address auto-
matically. Cu ajutorul comenzii
ipcong /all vericai dac setrile
de reea corespund cu cele spe-
cicate n conguraia serverului
DHCP.
SFAT:
Nu este recomandat folosirea
aceluiai server pentru instalarea
unui Domain Controller i a unui
gateway cu serviciile asociate de
RRAS. De obicei, ecare rol impor-
tant este bine s stea pe o main
separat (virtual dac se poate)
pentru ca n cazul, nefericit de alt-
fel, unor probleme de securitate
s nu e compromis integritatea
tuturor serverelor. Gndii-v
ct de uor i va unui atacator
s preia controlul ntregii reele
dac reuete s pun stpnire
pe serverul cel mai expus
gateway-ul.
| CHIP SUPLIMENT | MAI 2008
butonul Add i putem introduce informaiile dorite. Prima dat vom
aloca un nume ce ne va folosi la identificarea mai simpl a acestui set de
IP-uri. S zicem IP-uri interne. Stabilim adresa de nceput i de sfrit a
setului (Ex: 192.168.2.11 192.168.2.25) i masca corespunztoare (Ex:
255.255.255.0 pentru reeaua intern), precum
i gateway-ul (Microsoft nu recomand insta-
larea serverului gateway pe aceeai main ce
gzduiete i domain controller-ul, dar dac
nu avei nc un IP extern, se poate merge pe
varianta instalrii i folosirii unui server unic.
Atunci alegei 192.268.2.1 dar s avei instalat
rolul NAT). Ultimul lucru pe care l mai setm
n acest pas este legat de durata de via a adre-
selor servite de server. Sunt predefinite dou
scenarii: pentru conexiunea pe fir, unde se pre-
supune c durata de funcionare continu a unui PC este de 6 zile, sau
pentru cea wireless, unde adresa
IP este invalidat dup 8 ore. Im-
plicit este propus tipul wired.
Putem decide s activm setul
de IP-uri imediat ce l-am creat
(bifai Activate this scope) sau o
putem face ulterior.
2. Activarea
adreselor IPv6
Windows Server 2008 permite
alocarea dinamic de adrese IPv6.
ntr-un viitor nu foarte ndeprtat,
folosirea IP-urilor v6 va trebui s
fie o prioritate i atunci se va face activarea modului de funcionare
corespunztor pentru serverul DHCP. Pn atunci putem dezactiva
22
 Workshop
SFAT:
aceast opiune mai ales dac plcile de reea folosite de noi nu suport
NPS trebuie privit ca un serviciu
acest mod de funcionare. ce permite un control mai bun, dar
care nu poate mpiedica n totali-
3. Stabilirea drepturilor de autorizare tate problemele de securitate. Va
posibil de exemplu s detectm
Windows Server 2008 permite ca pe un Active Directory Domain Ser- ce sisteme nu au update-urile la
vices s existe mai multe servere DHCP, ns pentru aceasta va fi necesar zi pentru sistemul de operare sau
s existe un cont pe baza cruia s se poat prelua drepturile. Implicit care nu au rewall-ul pornit, res-
pectiv update-urile la antivirus i
este propus cel de Administrator al serverului pe care DHCP-ul este dac acesta este pornit. Or, dac
instalat. l vom lsa aa pentru scenariul nostru i finalizm instalarea. aceste minime criterii sunt nde-
plinite (presupunem c n aceste
condiii staia respectiv reprezint
un risc mai redus), reducem sem-
nicativ riscul de a introduce n
reea sisteme cu probleme.

4. Instalarea Network Policy and SFAT:

Access Services Security Center: observai c din
acest moment toate elementele
Pornii din nou vrjitorul de instalare a rolurilor din Server Manager pe care le consideram enervante
sau Initial Configuration Tasks. Bifai Network Policy and Access Services. sub Vista (informaiile marcate cu
rou n consola de securitate Secu-
Pasul urmtor propune instalarea opiunilor asociate acestui rol. rity Center) ncep s aib sens. Dac
n principal Network Policy Server va fi responsabil de politicile antivirusul folosit tie s lucreze cu
legate de autentificri i autorizri, respectiv gradul de sntate al consola Security Center putem s i
vericm integritatea. La fel i pen-
tru clientul antispyware.

23 MAI 2008 | SUPLIMENT CHIP |

SFAT:
Protecie cu NPS: n timp, pe m-
sur ce dezvoltatori teri se vor
pune la treab, va posibil ca
aceste elemente s e extinse cu
criterii specice i altor aplicaii de
securitate pe care le folosim.
| CHIP SUPLIMENT | MAI 2008
clienilor. Peste el pot fi adugate
serviciile de Routing and Remote
Access, Health Registration Au-
thority i Host Credential Autho-
rization Protocol. Avem nevoie
doar de NPS i eventual (dac
vrei s permitei sesiuni VPN
prin intermediul acestui server,
s instalai i Routing and Remote
Access Services), celelalte dou
servicii ocupndu-se de conexi-
uni securizate pe baza unor cer-
tificate, respectiv integrarea cu soluiile de control al accesului de la
Cisco. Finalizai instalarea i repornii serverul.
5. Iniializarea NPS
Odat cu Windows Server 2008, Microsoft a introdus un element supli-
mentar de verificare a integritii i sntii sistemelor ce se conecteaz
n reea. Se pleac de la premisa c majoritatea problemelor de securitate
ce apar n cadrul unor reele sunt legate de faptul c sistemele mo-
bile nu ndeplinesc nite condiii minimale de sntate. De obicei,
un sistem infectat are asociate nite simptome legate de inexistena
update-urilor pentru sistemul de operare i aplicaiile de securitate aso-
ciate lui (firewall, antivirus, antispyware etc.). Pe acest principiu, cu un
serviciu special (n spe NPS) un administrator de reea va putea obine
un grad mai ridicat de control asupra sistemelor ce au acces n reea.
n practic ns, configurarea politicilor NPS este destul de uor de rea-
lizat. n exemplul de fa o
s vedem cum se creeaz un
sistem minimal de validare
pe care l vei putea extinde
ulterior dup dorin.
Din Server Manager,
Roles, Network Policy and
Access Services, NPS i se
selecteaz Network Access
Protection. Clic pe Config-
ure System Health Valida-
tors, dublu clic pe Windows
Security Health Validators
i apoi apsai butonul Con-
figure.
24
 Workshop
SFAT:
Avem acum acces la fereastra de configurare a setrilor pe care un
Pe Windows Vista serviciul NPS
client Windows Vista sau XP SP3 trebuie s le aib active pentru a trece funcioneaz implicit. ns pentru
testul de sntate. Windows XP devine disponibil
Conform criteriilor de securitate pe care le-am stabilit n reeaua doar dup trecerea la Windows
XP SP3.
noastr, vom specifica i testele de sntate. Avem la dispoziie un
criteriu de verificare a strii firewall-ului (on/off ), a strii antivirusului
(pornit, cu update-urile la zi), a aplicaiei antispyware (pornit, cu up-
date-urile la zi) i pentru update-urile sistemului de operare.
Am trecut de faza de testare. Acum trebuie s vedem ce facem atunci cnd
unul din teste nu este trecut. Implicit sunt bifate toate testele menionate mai
sus i putem s activm i protecia asociat n cazul n care criteriile nu sunt
ndeplinite. Prin bifarea opiunii Restrict access for clients that do not have all
available security updates installed le vom bloca accesul pe baza unui indicator
de importan al update-urilor (Importante, critice, de importan minim).
S alegem ca testul s presupun existena update-urilor importante.

6. Politicile de
sntate
Pn acum am activat funcio-
nalitatea NPS. Este cazul s ne
crem i politicile de securitate
asociate testelor pe care le-am im-
pus. Mergem n Server Manager,
Roles, Network Policy and Access
Services, NPS, Policies i dm clic
dreapta pe Health Policies, respectiv
New. Putem acum crea o politic
de sntate creia s i dm un
nume de tipul WHSV Compliant (o
prescurtare de la Windows Health
SFAT:
System Validators). Alegei tipul de teste (Client passes all SHV checks adic
Auto Remediation: bifnd aceast
se face o verificare pentru toate testele bifate anterior) i politica asociat opiune, va posibil ca setrile de
(Windows Security Health Validator) i apoi Apply. Am creat prima politic securitate care nu sunt ndeplinite
pentru testarea sntii clienilor. Similar, vom crea una WHSV non- pe staiile client s e remediate n
mod automat. Conform exemplu-
compliant, dar care va intra n vigoare atunci cnd cel puin unul din teste a lui nostru, se vor activa rewall-ul
fost trecut totui (folosii opiunea Client passes one or more SHV checks). i aplicaiile de securitate i vor
descrcate update-urile.
7. Politica de acces n reea
Rezultatul testrii sntii va oferi o informaie de tipul: clientul este
sntos sau nu este sntos. n ambele cazuri trebuie s stabilim
modul n care el va avea acces n reeaua noastr. Prima politic este cea
aplicat acelor sisteme care au trecut cu brio testul de sntate i care
va oferi drepturi depline n reea.

25 MAI 2008 | SUPLIMENT CHIP |

SFAT:
Exemplu: Jucai-v cu elementele de
securitate pe care NAP le poate
fora clienilor din reea. O mo-
dalitate simpl de testare a modu-
lui de funcionare este s vericai
ce se ntmpl atunci cnd de
exemplu un client nu are activ
rewall-ul.

De data aceasta, din Network Policies dai clic dreapta i apoi alegei
New. Denumii Full access i selectai DHCP Server pentru Type of net-
work access server (n cazul n care condiia este ndeplinit, este per-
mis accesul la serverul DHCP ce va oferi setrile corespunztoare de
conectare n reea). Fereastra urmtoare este locul n care adugm
condiiile pe baza crora politica de reea Full
access va fi evaluat. Trebuie s existe cel puin
o condiie sau pot fi create condiii multiple.
Dai clic pe Add, alegei Health Policies i apoi
selectai WHSV Compliant. Nu uitai ca n
ultima fereastr de dialog s specificai c n
cazul ndeplinirii condiiilor este permis acce-
sul la server (Access granted). Bifai doar Allow
clients to connect without negotiating and au-
thentication method. Trecei peste urmtoarea
fereastr de dialog i selectai NAP Enforce-
ment, bifai Allow full network access i Enable-
auto remediation of client computers.

8. Politica de blocare
a accesului
Similar cu politica de acces, se pot crea politi-
cile de blocare a accesului n reea. Folosii s

| CHIP SUPLIMENT | MAI 2008 26

 Workshop
SFAT:
zicem numele Deny Access i ca Health Policies alegei WHSV noncom-
Extra: acest serviciu de protecie
pliant. Blocai accesul (Access denied) i apoi Allow limited access i Auto (NPS) va funciona i mai bine dac
remediation. n cadrul reelei vom mai instala i
un server WSUS (Windows Server
9. Activarea politicii NPS n Update Services) capabil s ofere
i s remedieze decienele legate
cadrul serviciului DHCP de lipsa update-urilor.
n momentul de fa, dei avem active politicile de protecie a accesului
via serviciul NPS, ele nu sunt aplicate. Din Server Manager, Roles, DHCP
Server selectai serverul dumneavoastr. Dai clic pe IPv4 i apoi clic
dreapta pe scope-ul pentru care aplicm Network Access Protection. Din
tab-ul Network Access Protection bifai Enable for this scope i Use default
Network Access Protection Settings.
De acum, politicile create devin active pentru clienii din reea.

10. Extra: configurarea clientului SFAT:

Automatizare: cel mai simplu mod
Windows Vista pentru lucrul cu NPS de a aplica nite politici globale
Serviciul de protecie a accesului n reea funcioneaz doar dac staiile este ca ele s e create cu ajutorul
din reea folosesc un sistem de operare Windows Vista sau Windows XP modulului Group Policy. n exem-
plul alturat am detaliat aplicarea
SP3. ns i pentru acestea trebuie activat serviciul NAP. unei politici la nivelul unui singur
Din Windows Vista, n cadrul Start Search scriei i lansai comanda utilizator.
gpedit.msc. Apoi din Local Computer Policy, Computer Configuration,
Administrative Templates, Windows Components dai clic pe Security
Center. Dublu clic pe Turn on Security Center (Domain PCs only) i
selectai Enabled. Mai departe, din Control Panel, System and Mainte-
nance, Administrative Tools, Services dai dublu clic pe Network Access
Protection Agent i selectai ca Automatic modalitatea de pornire. n fi-
nal, scriei napclcfg.msc n Start Search, iar apoi din Enforcement Clients
selectai DHCP Quarantine Enforcement Client i activai-l.

SFAT:
Pe baza exemplului de mai sus
putei s explorai modul n care
funcioneaz politicile din Network
Access Protection. Facei mai nti
teste pe staii non-productive
pentru a vedea cum funcioneaz
setrile alese. Putei opta s folosii
i servere ntr-o reea izolat, la
care s se conecteze clienii care
nu ndeplinesc condiiile de securi-
tate. Aa va mai uor s se rezolve
problemele ntlnite.

27 MAI 2008 | SUPLIMENT CHIP |

n acest articol:
Instalarea rolurilor File i
Print Services
Cum se aloc resursele
Crearea de restricii quota
pentru utilizatori
SFAT:
Putei folosi i opiunea Internet
Printing prin care utilizatorii Ac-
tive Directory vor putea avea ac-
ces la managementul operaiilor
de imprimare. ns pentru aceasta
este nevoie de instalarea rolului
IIS (Web Server) i nu este cazul
s ncrcm suplimentar Domain
Controller-ul.
SFAT:
Dac selectai modul Custom, vei
putea specica drepturi speciale
pentru ecare grup de utilizatori.
Ex: pentru grupul Testare creat
de noi la nceputul acestui ghid
putem stabili drepturi depline.
| CHIP SUPLIMENT | MAI 2008
Partajarea de resurse n
Windows Server 2008
U n alt motiv pentru care folosirea unui sistem Active Directory n
cadrul reelei este o opiune nimerit este cel legat de partajarea
resurselor de stocare i tiprire. Pe baza politicilor create n structura Ac-
tive Directory este foarte simplu de alocat ntre utilizatori spaiul de sto-
care, respectiv accesul la imprimantele instalate n reea. S vedem cum.
1. Instalarea rolurilor File and Print Services
Pe serverul ce gzduiete Domain Controller-ul, pornii Add roles din
Initial Configuration Tasks, bifai File Services i Print Services. Dac n
reeaua dumneavoastr exist sisteme UNIX, atunci bifai LPD Service
alturi de Print Server n urmtoarea fereastr.
Bifai File Server, Distributed File System, File Server Resource Mana-
ger, Services for Network File System, Windows Search Service i trecei
la pasul urmtor. Suntem invitai s crem spaiul virtual ce va permite
o identificare mai uoar a obiectelor partajate
(fiiere, directoare). i asociem un nume (ex: sto-
care1) i l crem ca Domain-based namespace
pe Windows Server 2008 mode. Setm contul
pe baza cruia sunt asociate drepturile rolului
creat (administratorul domeniului).
2. Selecia directoarelor
partajate
La pasul urmtor putem asocia directoare par-
tajate pentru zona virtual creat (stocare1).
Clic pe Add, Browse i apoi New Shared Folder
(mai nti apsai pe Show Shared Folders).
Asociai-i un nume (ex: documente), o locaie pe hard disk i drepturile
pe care le vor avea utilizatorii.
Acum stabilim volumul NTFS ce va fi partajat n reea i cel care va
fi indexat de serviciul Windows Search.
3. Stabilirea cotelor de folosin
Din meniul Start, Administrative Tools, alegei File Server Resource Man-
ager. Apoi Quota Management, Quota Templates i dai clic pe 100 MB
Limit. Vom folosi acest exemplu pentru a crea o regul personalizat
pentru cotele de folosin asociate utilizatorilor din domeniul nostru.
Clic dreapta i Create quota from Template. Putei lsa Create quota on
path sau putei decide s aplicai regulile pe toat structura de subdi-
28
 Workshop
SFAT:
rectoare din locaia
Vericarea cotelor: mergei n File
selectat. Mergem pe Server Resource Manager, Quota
prima variant i apoi Management, Quotas i vedei ce
bifm Define custom template-uri sunt active la mo-
mentul respectiv.
quota template, Custom
properties.
Dm o denumire
generic regulii s
zicem 50 MB Limit, spe-
cificm 50,000 MB la
Space Limit i selectm Hard quota (utilizatorii nu au voie s depeasc
aceast limit).
Exist posibilitatea de a crea notificri pentru cazurile n care cotele
sunt depite (dar trebuie s existe instalat un server de e-mail). Dnd
clic pe butonul Add se pot specifica modalitile de notificare. Ulterior,
dm un nume regulii create (ex: 50 MB Limit).

4. Activare cotei pe un
director partajat
Pornii Share and Storage Management
din meniul Start, Administrative Tools.
Din meniul Action, alegei Provision
Share. Selectai locaia fizic a directoru-
lui partajat i trecei la pasul urmtor.
Schimbai permisiunile NTFS dac dorii
(ex: permitei doar accesul utilizatorilor
din grupul testare. Dai clic pe Edit Permis-
sions, adugai grupul testare i bifai full
control). Bifai SMB i NFS pentru a aso-
cia un nume directorului partajat n reea.
Setai permisiunile pentru conectarea pe
protocolul SMB.
n fereastra Quota Policy bifai apply
quota i selectai 50 MB Limit. Se mai poate
stabili i tipul de fiiere pe care directorul le va
conine (Apply file screen). Terminai operaia
prin Create.

29 MAI 2008 | SUPLIMENT CHIP |

Roluri i opiuni
Windows Server 2008 ofer 17 roluri i 35 de opiuni ce pot fi controlate direct din Server Manager. Unele
dintre opiuni (Failover Clustering sau BitLocker Drive Encryption) necesit dispozitive hardware dedi-
cate, iar anumite roluri depind de existena altora i instalarea lor este condiionat. De exemplu dac se
dorete folosirea rolului SharePoint trebuie s fie instalat i cel Internet Information Services (IIS).

Roluri din Opiuni din

Windows Server 2008: Windows Server 2008:
 Active Directory Certificate Services  NET Framework 3.0 Features
 Active Directory Domain Services (AD DS)  BITS Server Extensions
 Active Directory Federation Services  BitLocker Drive Encryption
(AD FS)  Connection Manager Administration Kit
 Active Directory Lightweight Directory  Desktop Experience
Services (AD LDS)  Failover Clustering
 Active Directory Rights Management  Group Policy Management
Services (AD RMS)  Internet Printing Client
 Application Server  Internet Storage Naming Server
 DHCP Server  LPR Port Monitor
 DNS Server  Message Queuing
 Fax Server  Multipath IO
 File Services  Network Load Balancing
 Hyper-V  Peer Name Resolution Protocol
 Network Policy and Access Services  Quality Windows Audio-Video Experience
 Print Services  Remote Assistance
 Terminal Services  Remote Differential Compression
 Universal Description, Discovery, and  Remote Server Administration Tools
Integration (UDDI) Services  Removable Storage Manager
 Web Server (IIS)  RPC over HTTP Proxy
 Windows Deployment Services  Simple TCP/IP Services
 SNMP Services
 SMTP Server
 Storage Manager for SANs
 Subsystem for UNIX-based Applications
 Telnet Client
 Telnet Server
 TFTP Client
 Windows Internal Database
 Wireless LAN Services
 Windows PowerShell
 Windows Process Activation Service
 Windows Server Backup Features
 Windows System Resource Manager
 WINS Server

| CHIP SUPLIMENT | MAI 2008 30