* ad 사용자와 그룹
* 사용자 계정
로컬 계정: 로컬 컴퓨터에만 접근 가능함.
도메인 사용자 계정: ad 도메인에 접근 가능함
* 계정의 표현
기본적인 도메인 로그인 이름: AAA\user
UPN(user principal name): user@aaa.com
distinguished name: CN=user, OU=조직구성단위이름, DC=aaa, DC=com
relative distinguished name: CN=user
cn(common name), ou(organizational unit), dc(domain component)
* 기본으로 생성되어있는 로컬 계정
administrator, defalutaccount, guest가 있는데 보안상 어드민빼고 막혀있음.
특별하지 않으면 사용하지 않아도 됨.
도메인 사용자 계정을 생성, 수정, 삭제하려면
서버 관리자의 ad 사용자 및 컴퓨터에서 관리 가능함.
dsadd, dsmod, dsmove, dsrm 등 명령어로 계정 관리가 가능.
* OU 조직 구성 단위
사용자, 그룹, 컴퓨터 등 포함이 가능한 ad 컨테이너이다.
쉽게 부서로 나눌 수 있음.
* OU 만들기
서버 관리자 - ad 사용자 및 컴퓨터
도메인에서 우클릭 조직 구성 단위 - 새개체를 생성함.
도메인 아래 OU가 만들어졌고
그 OU안에 다른 OU들을 생성할 수 있다. (부서 아래 A팀)
삭제 안되는건 개체 보호 때문인데 보기에서 고급기능켜고
ou에서 속성에서 체크로 풀 수 있음.
* 도메인 사용자 계정 만들기
ou 아래 새로 만들기 - 사용자
계정 속성 들어가서 계정에 가면 거부된 로그인 시간 정할 수 있음.
* 템플릿 만들기
동일한 형식을 만들어두고 복사해서 사용하는 것.
도메인에 사용자 템플릿 하나 만들고 복사한 후에 이동하여 처리함.
확인해보니 주소는 일부 비어있고 전화는 전부 비어있다.
(사용자마다 다르다는 가정이기 땜에 복사가 안됨)
* 동일하게 bbb.aaa.com 쪽에도 사용자를 생성
모든서버 - z지사 서버선택 마우스 우측 - ad 사용자 및 컴퓨터
안보이면 삭제하고 다시 서버 추가하면 됨.
* 서버쪽에 만든 사용자 계정으로 접근해봄
aaa.com bbb.aaa.com 둘다 접근이 안됨.
일반 사용자는 도메인컨트롤러에 접근할 수 없음.
일반 pc로 방화벽풀기/내pc 속성바꾸기 후에 다시 두 도메인 접근해보자.
aaa.com 소속이라 aaa 도메인은 접속되도 bbb 계정도 접속되는건
포리스트 내에서 PC들은 트러스트 관계라서 그렇다.
* 계정을 사용할 수 없다고 나올때
사용자 계정이 계정 사용 안함으로 되어있는지 확인하자
계정옆에 하얀 원형 표시있음
* AD 그룹
그룹은 컴퓨터나 사용자의 집합이다.
그룹이 다른 그룹 포함도 가능함.
* 그룹의 종류
그룹은 보안그룹과 배포 그룹으로 나뉜다.
배포는 exchange server에서 사용함
보안 그룹에서 글로벌 그룹, 로컬 그룹, 유니버설 그룹으로 나뉨.
* 글로벌 그룹
모든 도메인에 자원에 권한을 할당 가능함.
글로벌 그룹을 생성한 도메인 구성원만 포함됨.
aaa.com 사용자 -> 글로벌 그룹 가입 -> aaa.com, bbb.com 자원 권한 부여 가능
bbb.com 사용자 -> 글로벌그룹 불가능
aaa.com은 자기 자신 도메인에 생성된 글로벌 그룹에 포함가능.
자식 도메인은 글로벌 그룹에 포함이 안됨.
* 도메인 로컬 그룹
글로벌 그룹의 반대 개념.
다른 도메인 사용자가 도메인 로컬 그룹에 사용자 계정 생성 가능.
도메인 로컬 그룹이 접근할 수 있는 자원은 자기 소속의 도메인만 가능.
aaa.com 사용자 -> 도메인 로컬 그룹 가입 -> aaa.com 자원 권한 부여 가능
bbb.com 사용자 -> 도메인 로컬 그룹 가입 -> bbb.com 자원 권한 부여 불가능
* 유니버설 그룹
모든 도메인 자원에 접근이 가능.
구성원은 모든 도메인의 사용자 계정 가능.
글로벌 그룹 + 도메인 로컬 그룹
aaa.com -> 유니버설 그룹 가입 -> aaa.com, bbb.com 자원 권한 부여 가능
bbb.com -> 유니버설 그룹 가입
유니버설 그룹은 최소화해야한다.
유니버설 그룹 정보는 글로벌 카탈로그에 모두 저장되야하기 때문.
* 글로벌 그룹 테스트해보기
x본사 서버
aaa.com 도메인에서 직접 사용자를 하나 생성한다.
user1@aaa.com 생성완료
aaa.com 도메인에 그룹을 생성한다. 그룹범위는 글로벌, 도메인로컬, 유니버설.
c드라이브에 aaa공유라는 폴더를 만들고 아무거나 폴더에 넣는다.
z지사 서버
bbb.com 도메인에 직접 사용자를 하나 생성한다.
user2@bbb.com 생성완료
c드라이브에 bbb공유라는 폴더를 만들고 아무거나 폴더에 넣는다.
(글로벌 그룹에 유저포함 시키기)
aaa.com의 글로벌 그룹 - 속성 - 구성원 - user1을 추가한다.
동일하게 구성원에서 user2를 찾아서 가입하려고 하면 안된다.
글로벌 그룹은 다른 도메인에서 글로벌 그룹의 구성원이 될 수 없다.
(폴더 공유하기)
아까 만든 c드라이브 안에 aaa공유 폴더에서 속성 - 공유 - 고급공유
-> 선택한 폴더 공유 - 권한 - everyone 삭제 - 추가에서 글로벌그룹 추가 후에
권한들 체크함.
(AD 검색 가능)
다시 aaa.com에서 공유폴더를 새로 생성.
이름 글로벌그룹공유 / 경로는 \\aaa.com ip \aaa공유
만들어진 공유 폴더의 키워드를 설정함 (이후 검색)
(bbb.com의 폴더 공유하기)
c드라이브에 만든 bbb공유 폴더에서 고급 공유 - 위치를 aaa.com으로 변경함.
그 후에 선택할 개체를 찾기에서 aaa의 글로벌그룹 추가
(AD 검색 가능)
다시 bbb.com에서 공유폴더를 새로 생성.
이름 글로벌그룹공유 / 경로는 \\bbb.com ip \bbb공유
만들어진 공유 폴더의 키워드를 설정함 (이후 검색)
이후에 aaa.com을 도메인으로 가진 클라이언트 pc 한 대를 준비함.
user1@aaa.com으로 접속함.
파일탐색기에서 \\aaa.com ip\aaa공유 폴더에 접근이 되는 지 확인 (접근가능)
파일탐색기에서 \\bbb.com ip\bbb공유 폴더에 접근이 되는 지 확인 (접근가능)
* 정확히 폴더를 모를 때 키워드 검색
네트워크 - AD 검색 - 찾기(공유폴더) - 위치(전체) - 키워드 입력 - 지금 찾기
- 나온것 누르고 탐색
* 도메인 로컬 그룹 테스트
x본사 pc에서
aaa.com - 도메인로컬그룹 - 속성 - 구성원에 추가하여 user2@bbb.aaa.com 추가
선택할 개체 이름에 위에 그대로 입력. 이름이 이제 검색 되면 선택함.
aaa.com의 도메인 로컬 그룹에 bbb.com의 user2가 가입되었다.
x본사 pc에서
c드라이브의 aaa공유 폴더에서 속성 - 고급공유 - 권한에서 추가하여
도메인로컬그룹 이름 확인 - 권한 모두 허용
z지사 pc에서
c드라이브에서 bbb공유 폴덜 선택 - 속성 - 고급 공유 - 권한에서 추가
위치에서 aaa.com으로 입력하면 bbb.aaa.com -> aaa.com
이름 확인에 도메인로컬그룹 추가하면 에러가 나옴.
폴더 공유에 aaa의 그룹 추가 자체가 안됨
(도메인 로컬 그룹은 다른 도메인의 자원에 접근할 권한이 없어서임)
client에서 user2@bbb.aaa.com으로 로그인.
탐색기에서 \\aaa.com ip\aaa공유 입력 잘 보임
탐색기에서 \\bbb.com ip\bbb공유 입력 실패함(권한 자체가 없으니 당연히 안됨)
* 유니버설 그룹 테스트
x본사 pc에서
aaa.com - 유니버설그룹 - 속성 - 구성원에 추가하여 user2@bbb.aaa.com 추가
선택할 개체 이름에 위에 그대로 입력. 이름이 이제 검색 되면 선택함.
aaa.com의 유니버설 그룹에 bbb.com의 user2가 가입되었다.
z지사 pc에서
c드라이브에서 bbb공유 폴더 선택 - 속성 - 고급 공유 - 권한에서 추가
위치에서 aaa.com으로 입력하면 bbb.aaa.com -> aaa.com
이름 확인에 유니버설그룹 추가.
client에서 user2@bbb.aaa.com으로 로그인.
탐색기에서 \\aaa.com ip\aaa공유 접근 가능
탐색기에서 \\bbb.com ip\bbb공유 접근 가능
* 실제 권장사항
AD설계 시에 AGDLP 순서로 권장함.
사용자 계정 - 글로벌 그룹 -> 도메인 로컬그룹 -> 권한
유니버설은 전반적인 네트워크 성능을 떨어뜨려 사용하지 않는 것이 좋음.
* AGDLP의 예시
aaa.com -> 본인 글로벌그룹 가입 -> 도메인 로컬 그룹 가입 -> 권한 부여
bbb.aaa.com -> 본인 글로벌그룹 가입 -> aaa.com 도메인 로컬 그룹 가입
이건 aaa.com 도메인 자원에 공유시킬 때
bbb.aaa.com을 공유시키려면 bbb.aaa.com에 도메인 로컬 그룹을 만들어서 가입시킴.
각각 글로벌 그룹을 가입시켜 bbb.aaa.com 자원에 접근하도록 함.
* AGDLP 테스트
z지사 bbb.aaa.com 서버에 글로벌 그룹을 만듬
user2를 가입시킴
x본사 aaa.com 서버에 글로벌 그룹을 만듬
user1을 가입시킴
도메인로컬 그룹에 위 2개의 글로벌 그룹을 가입시킴
x본사 aaa.com에서 c드라이브 공유 폴더에 도메인 로컬 그룹을 공유시킴
client pc에서 user1과 user2로 각각 로그인하여 x본사 aaa.com 도메인 공유 폴더에
접근해보자 둘 다 접근 가능할 것이다.
* 기본 그룹들
windows server 2016 설치 시 제공되는 기본 로컬 그룹
ad 도메인 생성 시 자동으로 제공되는 기본 도메인 그룹
기본 도메인 그룹은 3가지로 분류됨.
기본 도메인 로컬 그룹
기본 글로벌 그룹
기본 유니버설 그룹
이것들은 컴퓨터 관리에서 로컬 사용자 및 그룹에서 확인 가능함.
기본 도메인 로컬 그룹은 도메인 컨트롤러, ad 서비스 관련 권한임.
ad 사용자 및 컴퓨터에서 builtin 컨테이너에 대부분 + 일부 users 컨테이너에 있음
기본 글로벌 그룹은 도메인 관리자, 컴퓨터, 컨트롤러, 사용자 그룹이고
users 안에 있음.
기본 유니버설 그룹도 users 안에 있음
* ou와 그룹의 차이점은?
그룹은 동일한 작업하는 계정을 관리하고 권한을 부여하는 단위임.
OU는 사용자, 그룹, 컴퓨터 등 배치 가능한 컨테이너 또는 폴더 개념
OU에는 권한을 줄 수 없고 그룹 정책 적용하기 위한 최소 단위임.
사용자 계정은 1개의 OU에만 가입 가능, 여러개 그룹에 가입이 가능함.