4 lat temu · 398f2f581b
--- a/W4-INF-ISK-mgr.md
+++ b/W4-INF-ISK-mgr.md
 
															
															 W systemie zawsze istnieje użytkownik `root` – administrator, który posiada wszystkie możliwe uprawnienia (przysłowie ang. _root or god, no difference at all_). Ze względu na tę wszechmoc oczywiście nie powinno się konta roota używać do pracy na co dzień, tylko w razie potrzeby ;-)  
														
 
															
															 Innym użytkownikom (lub grupom) uprawnienia administracyjne można przyznawać za pomocą programu `sudo` – na równi z rootem lub w ograniczonym zakresie (np. do wykonywania określonych poleceń).
														
 
															
															+
														
 
															
															+# Usługi katalogowe systemu Windows Server 20xx
														
 
															
															+
														
 
															
															+System Windows posiada własną implementację usług katalogowych pod nazwą Active Directory. Umożliwa ona grupowanie komputerów w _domeny Windows_ i scentralizowaną administrację połączonymi w ten sposób maszynami. Bazuje na 3 protokołach: LDAP, Kerberos i DNS.
														
 
															
															+
														
 
															
															+Na wszystkich komputerach włączonych w domenę można logować się za pomocą tych samych kont, przechowywanych na serwerze pełniącym rolę _kontrolera domeny_ (w celu zapewnienia redundancji, takich serwerów może być kilka). Tych samych danych można też używać, aby zapewnić dostęp do zasobów udostępnionych w domenie, np. katalogów sieciowych lub drukarek, a dzięki wykorzystaniu pojedynczego uwierzytelnienia (ang. _SSO_), hasło wystarczy podać tylko raz przy logowaniu do systemu. Z kolei dzięki zintegrowaniu z kontrolerem domeny serwera DNS, do komputerów wchodzących w skład domeny można odwoływać się za pomocą adresów domenowych zamiast adresów IP. Centralne logowanie można również rozszerzyć o przechowywany na serwerze profil użytkownika (_profil mobilny_).
														
 
															
															+
														
 
															
															+Jednym z podstawowych celów tworzenia domen Active Directory jest kontrola uprawnień użytkowników – i ona w AD jest mocno rozbudowana. Możliwe jest między innymi:
														
 
															
															+* przydzielanie lub odmawianie dostępu użytkownikom do konkretnych komputerów i zasobów wchodzących w skład domeny,
														
 
															
															+* kontrolowanie uprawnień użytkowników w systemie  oraz centralna konfiguracja wielu ustawień systemu operacyjnego na komputerach w domenie (za pomocą _zasad grupowych_),
														
 
															
															+* logiczne grupowanie zasobów według dowolnych kryteriów w hierarchię _jednostek organizacyjnych_,
														
 
															
															+* delegowanie kontroli administracyjnej nad domeną lub poszczególnymi jednostkami organizacyjnymi określonym użytkownikom.
														
 
															
															+
														
 
															
															+Pomiędzy różnymi domenami Active Directory można definiować jednostronne lub dwustronne relacje zaufania, aby umożliwić użytkownikom jednej domeny dostęp do zasobów innej. Domeny można też hierarchicznie łączyć w drzewo, wtedy relacje zaufania są tworzone automatycznie.
														
 
															
															+
														
 
															
															+Do domeny mogą należeć komputery z systemem operacyjnym Windows od wersji 2000, w edycji przeznaczonej do użytku w firmach (wersje z licencją przeznaczoną do użytku domowego są pozbawione tej funkcjonalności), a po odpowiednim skonfigurowaniu usługi Active Directory – także komputery z systemami Linux lub Unix. Kontrolerem domeny może być komputer z systemem Windows Server również od wersji 2000, albo komputer z systemem Linux i zainstalowanym serwerem Samba 4 (wariant alternatywny, w całości bazujący na oprogramowaniu otwartoźródłowym).