서버 #20

* ad 사용자와 그룹

 

* 사용자 계정

로컬 계정: 로컬 컴퓨터에만 접근 가능함.

도메인 사용자 계정: ad 도메인에 접근 가능함

 

* 계정의 표현

기본적인 도메인 로그인 이름: AAA\user

UPN(user principal name): user@aaa.com

distinguished name: CN=user, OU=조직구성단위이름, DC=aaa, DC=com

relative distinguished name: CN=user

cn(common name), ou(organizational unit), dc(domain component)

 

* 기본으로 생성되어있는 로컬 계정

administrator, defalutaccount, guest가 있는데 보안상 어드민빼고 막혀있음.

특별하지 않으면 사용하지 않아도 됨.

도메인 사용자 계정을 생성, 수정, 삭제하려면 

서버 관리자의 ad 사용자 및 컴퓨터에서 관리 가능함.

dsadd, dsmod, dsmove, dsrm 등 명령어로 계정 관리가 가능.

 

* OU 조직 구성 단위

사용자, 그룹, 컴퓨터 등 포함이 가능한 ad 컨테이너이다.

쉽게 부서로 나눌 수 있음.

 

* OU 만들기

서버 관리자 - ad 사용자 및 컴퓨터

도메인에서 우클릭 조직 구성 단위 - 새개체를 생성함.

도메인 아래 OU가 만들어졌고

그 OU안에 다른 OU들을 생성할 수 있다. (부서 아래 A팀)

 

삭제 안되는건 개체 보호 때문인데 보기에서 고급기능켜고

ou에서 속성에서 체크로 풀 수 있음.

 

* 도메인 사용자 계정 만들기

ou 아래 새로 만들기 - 사용자

계정 속성 들어가서 계정에 가면 거부된 로그인 시간 정할 수 있음.

 

* 템플릿 만들기

동일한 형식을 만들어두고 복사해서 사용하는 것.

도메인에 사용자 템플릿 하나 만들고 복사한 후에 이동하여 처리함.

확인해보니 주소는 일부 비어있고 전화는 전부 비어있다.

(사용자마다 다르다는 가정이기 땜에 복사가 안됨)

 

* 동일하게 bbb.aaa.com 쪽에도 사용자를 생성

모든서버 - z지사 서버선택 마우스 우측 - ad 사용자 및 컴퓨터

안보이면 삭제하고 다시 서버 추가하면 됨.

 

* 서버쪽에 만든 사용자 계정으로 접근해봄

aaa.com bbb.aaa.com 둘다 접근이 안됨. 

일반 사용자는 도메인컨트롤러에 접근할 수 없음.

 

일반 pc로 방화벽풀기/내pc 속성바꾸기 후에 다시 두 도메인 접근해보자.

aaa.com 소속이라 aaa 도메인은 접속되도 bbb 계정도 접속되는건

포리스트 내에서 PC들은 트러스트 관계라서 그렇다.

 

* 계정을 사용할 수 없다고 나올때

사용자 계정이 계정 사용 안함으로 되어있는지 확인하자

계정옆에 하얀 원형 표시있음

 

 

* AD 그룹

그룹은 컴퓨터나 사용자의 집합이다.

그룹이 다른 그룹 포함도 가능함.

 

* 그룹의 종류

그룹은 보안그룹과 배포 그룹으로 나뉜다.

배포는 exchange server에서 사용함

 

보안 그룹에서 글로벌 그룹, 로컬 그룹, 유니버설 그룹으로 나뉨.

 

* 글로벌 그룹

모든 도메인에 자원에 권한을 할당 가능함.

글로벌 그룹을 생성한 도메인 구성원만 포함됨.

 

aaa.com 사용자 -> 글로벌 그룹 가입 -> aaa.com, bbb.com 자원 권한 부여 가능

bbb.com 사용자 -> 글로벌그룹 불가능

aaa.com은 자기 자신 도메인에 생성된 글로벌 그룹에 포함가능. 

자식 도메인은 글로벌 그룹에 포함이 안됨.

 

* 도메인 로컬 그룹

글로벌 그룹의 반대 개념.

다른 도메인 사용자가 도메인 로컬 그룹에 사용자 계정 생성 가능.

도메인 로컬 그룹이 접근할 수 있는 자원은 자기 소속의 도메인만 가능.

 

aaa.com 사용자 -> 도메인 로컬 그룹 가입 -> aaa.com 자원 권한 부여 가능

bbb.com 사용자 -> 도메인 로컬 그룹 가입 -> bbb.com 자원 권한 부여 불가능

 

* 유니버설 그룹

모든 도메인 자원에 접근이 가능.

구성원은 모든 도메인의 사용자 계정 가능.

글로벌 그룹 + 도메인 로컬 그룹

 

aaa.com -> 유니버설 그룹 가입 -> aaa.com, bbb.com 자원 권한 부여 가능

bbb.com -> 유니버설 그룹 가입

유니버설 그룹은 최소화해야한다. 

유니버설 그룹 정보는 글로벌 카탈로그에 모두 저장되야하기 때문.

 

* 글로벌 그룹 테스트해보기

x본사 서버

aaa.com 도메인에서 직접 사용자를 하나 생성한다.

user1@aaa.com 생성완료

aaa.com 도메인에 그룹을 생성한다. 그룹범위는 글로벌, 도메인로컬, 유니버설.

c드라이브에 aaa공유라는 폴더를 만들고 아무거나 폴더에 넣는다.

 

z지사 서버

bbb.com 도메인에 직접 사용자를 하나 생성한다.

user2@bbb.com 생성완료

c드라이브에 bbb공유라는 폴더를 만들고 아무거나 폴더에 넣는다.

 

(글로벌 그룹에 유저포함 시키기)

aaa.com의 글로벌 그룹 - 속성 - 구성원 - user1을 추가한다.

동일하게 구성원에서 user2를 찾아서 가입하려고 하면 안된다.

글로벌 그룹은 다른 도메인에서 글로벌 그룹의 구성원이 될 수 없다.

 

(폴더 공유하기)

아까 만든 c드라이브 안에 aaa공유 폴더에서 속성 - 공유 - 고급공유

-> 선택한 폴더 공유 - 권한 - everyone 삭제 - 추가에서 글로벌그룹 추가 후에

권한들 체크함.

 

(AD 검색 가능)

다시 aaa.com에서 공유폴더를 새로 생성.

이름 글로벌그룹공유 / 경로는 \\aaa.com ip \aaa공유

만들어진 공유 폴더의 키워드를 설정함 (이후 검색)

 

(bbb.com의 폴더 공유하기)

c드라이브에 만든 bbb공유 폴더에서 고급 공유 - 위치를 aaa.com으로 변경함.

그 후에 선택할 개체를 찾기에서 aaa의 글로벌그룹 추가

 

(AD 검색 가능)

다시 bbb.com에서 공유폴더를 새로 생성.

이름 글로벌그룹공유 / 경로는 \\bbb.com ip \bbb공유

만들어진 공유 폴더의 키워드를 설정함 (이후 검색)

 

이후에 aaa.com을 도메인으로 가진 클라이언트 pc 한 대를 준비함.

user1@aaa.com으로 접속함.

파일탐색기에서 \\aaa.com ip\aaa공유 폴더에 접근이 되는 지 확인 (접근가능)

파일탐색기에서 \\bbb.com ip\bbb공유 폴더에 접근이 되는 지 확인 (접근가능)

 

* 정확히 폴더를 모를 때 키워드 검색

네트워크 - AD 검색 - 찾기(공유폴더) - 위치(전체) - 키워드 입력 - 지금 찾기

- 나온것 누르고 탐색

 

* 도메인 로컬 그룹 테스트

x본사 pc에서

aaa.com - 도메인로컬그룹 - 속성 - 구성원에 추가하여 user2@bbb.aaa.com 추가

선택할 개체 이름에 위에 그대로 입력. 이름이 이제 검색 되면 선택함.

aaa.com의 도메인 로컬 그룹에 bbb.com의 user2가 가입되었다.

 

x본사 pc에서

c드라이브의 aaa공유 폴더에서 속성 - 고급공유 - 권한에서 추가하여

도메인로컬그룹 이름 확인 - 권한 모두 허용

 

z지사 pc에서

c드라이브에서 bbb공유 폴덜 선택 - 속성 - 고급 공유 - 권한에서 추가

위치에서 aaa.com으로 입력하면 bbb.aaa.com -> aaa.com

이름 확인에 도메인로컬그룹 추가하면 에러가 나옴.

폴더 공유에 aaa의 그룹 추가 자체가 안됨

(도메인 로컬 그룹은 다른 도메인의 자원에 접근할 권한이 없어서임)

 

client에서 user2@bbb.aaa.com으로 로그인.

탐색기에서 \\aaa.com ip\aaa공유 입력 잘 보임

탐색기에서 \\bbb.com ip\bbb공유 입력 실패함(권한 자체가 없으니 당연히 안됨)

 

* 유니버설 그룹 테스트

x본사 pc에서

aaa.com - 유니버설그룹 - 속성 - 구성원에 추가하여 user2@bbb.aaa.com 추가

선택할 개체 이름에 위에 그대로 입력. 이름이 이제 검색 되면 선택함.

aaa.com의 유니버설 그룹에 bbb.com의 user2가 가입되었다.

 

z지사 pc에서

c드라이브에서 bbb공유 폴더 선택 - 속성 - 고급 공유 - 권한에서 추가

위치에서 aaa.com으로 입력하면 bbb.aaa.com -> aaa.com

이름 확인에 유니버설그룹 추가.

 

client에서 user2@bbb.aaa.com으로 로그인.

탐색기에서 \\aaa.com ip\aaa공유 접근 가능

탐색기에서 \\bbb.com ip\bbb공유 접근 가능

 

* 실제 권장사항

AD설계 시에 AGDLP 순서로 권장함.

사용자 계정 - 글로벌 그룹 -> 도메인 로컬그룹 -> 권한

유니버설은 전반적인 네트워크 성능을 떨어뜨려 사용하지 않는 것이 좋음.

 

* AGDLP의 예시

aaa.com -> 본인 글로벌그룹 가입 -> 도메인 로컬 그룹 가입 -> 권한 부여

bbb.aaa.com -> 본인 글로벌그룹 가입 -> aaa.com 도메인 로컬 그룹 가입

이건 aaa.com 도메인 자원에 공유시킬 때

bbb.aaa.com을 공유시키려면 bbb.aaa.com에 도메인 로컬 그룹을 만들어서 가입시킴.

각각 글로벌 그룹을 가입시켜 bbb.aaa.com 자원에 접근하도록 함.

 

* AGDLP 테스트

z지사 bbb.aaa.com 서버에 글로벌 그룹을 만듬

user2를 가입시킴

x본사 aaa.com 서버에 글로벌 그룹을 만듬

user1을 가입시킴

도메인로컬 그룹에 위 2개의 글로벌 그룹을 가입시킴

 

x본사 aaa.com에서 c드라이브 공유 폴더에 도메인 로컬 그룹을 공유시킴

client pc에서 user1과 user2로 각각 로그인하여 x본사 aaa.com 도메인 공유 폴더에

접근해보자 둘 다 접근 가능할 것이다.

 

* 기본 그룹들

windows server 2016 설치 시 제공되는 기본 로컬 그룹

ad 도메인 생성 시 자동으로 제공되는 기본 도메인 그룹

기본 도메인 그룹은 3가지로 분류됨.

기본 도메인 로컬 그룹

기본 글로벌 그룹

기본 유니버설 그룹

 

이것들은 컴퓨터 관리에서 로컬 사용자 및 그룹에서 확인 가능함.

 

기본 도메인 로컬 그룹은 도메인 컨트롤러, ad 서비스 관련 권한임.

ad 사용자 및 컴퓨터에서 builtin 컨테이너에 대부분 + 일부 users 컨테이너에 있음

 

기본 글로벌 그룹은 도메인 관리자, 컴퓨터, 컨트롤러, 사용자 그룹이고

users 안에 있음.

기본 유니버설 그룹도 users 안에 있음

 

* ou와 그룹의 차이점은?

 

그룹은 동일한 작업하는 계정을 관리하고 권한을 부여하는 단위임.

OU는 사용자, 그룹, 컴퓨터 등 배치 가능한 컨테이너 또는 폴더 개념

OU에는 권한을 줄 수 없고 그룹 정책 적용하기 위한 최소 단위임.

사용자 계정은 1개의 OU에만 가입 가능, 여러개 그룹에 가입이 가능함.