MS (Microsoft) 에서 제공하는 Directory Service
네트워크에 연결된 모든 Resource(사용자, 컴퓨터, 공유폴더, 프린터 등)를 중앙에서 제어하고
관리하고 제어하는 서비스
사용자 인증, 권한, 정책 적용들을 효율적으로 관리용어 정리
- Directory Service
- 분산된 네트워크 자원 정보를 중앙 저장소에 통합 저장 환경
- AD DS (Active Directory Domain Service)
-
Domain 단위로 묶어서 관리
⇒ LDAP (Lightweight Directory Access Protocol) + DNS = Active Directory
-
- Tree / Forest
- Tree : Domain에 특화
- Forest : 2개 이상의 Tree로 구성
- Trust
- Domain 또는 Forest 사이의 신뢰 여부에 대한 관계를 나타내는 것
- Organizational Unit (OU)
- 조직 구성 단위, Domain안에서 나눠지는 세부 단위
- Domain Controller (DC)
- Resource에 대한 작업을 처리하는 서버
- Domain당 하나 이상의 DC가 필수
- Global Catalog (GC)
- Trust에 포함된 Domain의 개체에 대한 정보를 수집/저장하는 통합 저장소
- Group Policy (GP) / Group Policy Object (GPO)
- GP : 그룹에 대한 정책, AD내의 PC나 사용자에게 적용하는 정책
- GPO : GP를 생성 후 묶음, Domain 단위에 저장
Windows User
- Local User (자체 PC에 저장)
- 일반적인 Windows 환경의 사용자 ⇒ 표기 방식
- [계정 이름]
- 일반적인 Windows 환경의 사용자 ⇒ 표기 방식
- Domain User (중앙 카탈로그 저장)
- AD Domain 전체에 로그인 할 수 있는 사용자 ⇒ 표기 방식
- [계정 이름]@[도메인]
- [도메인 이름][계정 이름]
- AD Domain 전체에 로그인 할 수 있는 사용자 ⇒ 표기 방식
실습
DC Server
- IP : 10.9.0.241
Share Server
- IP : 10.9.0.242
Client
- IP : 10.9.0.1
Client 2
- IP : 10.9.0.2AD DS 설치 (DC Server)
우측 상단 관리 > 역할 및 기능 추가 클릭
Active Directory 도메인 서비스 설치
설치 후 우측 상단 깃발을 클릭해 이 서버를 도메인 컨트롤러로 승격 클릭
원하는 도메인 입력
설정할 암호 입력 후 쭉 다음으로 진행
재부팅이 된 후 기타 사용자로 administrator@도메인 계정으로 로그인이 가능합니다
기본 DNS 주소 변경 (Client)
DNS를 DC Server 아이피 주소로 변경 (10.9.0.241)
win + R
> ncpa.cpl
이름 및 소속 그룹 변경 (Client)
Server에서 설정한 도메인 입력
win + R
> sysdm.cpl
nslookup 명령어를 통해 해당 도메인을 찾는지 확인
PC를 이후 재시작 하게 되면 DC Server와 같이 도메인 유저로 로그인 할 수 있게 됩니다.
사용자 확인 (DC Server)
사용자 하나가 추가 된 걸 볼 수 있습니다.
Win + R
> dsa.msc
테스트용 OU 생성 (DC Server)
TestOU , TestGrpOU 라는 이름으로 조직 구성 단위 2개 생성
TestOU 조직에 User01, User02 2개의 사용자 생성
TestGrpOU 조직에ShareAdmin , ShareUser 2개의 그룹 추가
ShareAdmin에 우클릭 후 속성 그리고 구성원 탭에 가서 추가 하기를 눌러줍니다.
그리고 전에 생성했던 user01 을 작성 후 이름 확인을 누르면 아까 만들었던 유저가 자동으로 기입됩니다.
(ShareUser 그룹에는 user02 추가)
서버관리자 > 대시보드로 넘어와서 그룹 정책 관리 클릭
그룹 정책 개체 우클릭 후 새로 만들기를 통해 새 GPO 추가
Control Panel Access Deny 우클릭 후 편집
지정된 제어판 항목 숨기기 더블 클릭
사용으로 변경 후 표시 버튼을 눌러 아래와 같이 제어판 항목 추가
# 프로그램 및 기능
Microsoft.ProgramsAndFeatures
# 장치 관리자
Microsoft.DeviceManager
창을 닫고 다시 그룹 정책 관리 로 넘어와서 해당 도메인 우클릭 후 기존 GPO 연결 클릭
새로 만든 Control Panel Access Deny 클릭 후 확인
마지막으로 명령창에서 정책 적용 업데이트 작업
gpupdate /forced
최종 확인 (Client)
위에서 만든 user01@min.ke 계정으로 로그인을 해보면 아까 위에서 숨겼던
프로그램 및 기능과 장치 관리자 가 안되는 것을 볼 수 있다.
Windows Server 공유 폴더 추가
같은 OVA 사용으로 인한 SID 중복 현상 발생시 해결 방법
SID 확인 방법
# SID 확인 방법 > whoami /user
SID 변경하기
sysprep을 통해 SID 변경하기Win + R > sysprep
기본 DNS 주소 변경 (Share Server)
DNS를 DC Server 아이피 주소로 변경 (10.9.0.241)
win + R
> ncpa.cpl
이름 및 소속 그룹 변경 (Share Server)
Server에서 설정한 도메인 입력
win + R
> sysdm.cpl
공유폴더 추가 작업 (Share Server)
서버 관리자 > 대시보드 > 우측 상단 관리 > 역할 및 기능 추가
- 작업이 완료 되었으면 C:\ 하단에
Shared폴더 하나 생성
공유할 폴더에 권한 설정 (Share Server)
C:\Shared 폴더에 우클릭 후 속성 > 공유 탭 가서 고급 공유 > 권한 클릭
위에 DC Server에서 추가한 ShareAdmin 그룹과 ShareUser 그룹 추가
(테스트를 위해 Admin은 전부 허용, User는 읽기만 허용)
공유폴더 연결 작업 (Client)
내 PC 우클릭 > 네트워크 드라이브 연결 클릭
위에서 만들어둔 Shared Server의 공유 폴더에 연결 작업
\\10.9.0.242\Shared
이후 연결된 Shared 폴더에 user01 이라는 텍스트 파일 하나를 생성하면 Shared Server에서도 해당 텍스트 파일이 공유되고 있는 것을 볼 수 있습니다.
