■ ActiveDirectory 용어
*논리적
- 도메인 : Domain 영역, 관리의 범위, 정책을 적용할 수 있는 범위
회사 , 학교 , 국가
- OU 조직 구성 단위 : 부서 , 학과
구성원 , 자원 , 문서 , 기기 등을 조직하기 위한 것
그룹정책을 적용되는 기본 단위
ex) 보안 정책 , 소프트웨어 배포 정책 , 원격 PC제어(데스크톱 제어) 등
*물리적
- 도메인 컨트롤러 : 사옥 , 학사 , 정부청사
도메인에 소속된 사용자 계정 정보와 공유 자원의 정보를 중앙저장하는 곳
- DNS 서버 : 이름 + IP주소 Where?
- Site : 복제의 경계
로컬 서브넷에는 반드시 도메인 컨트롤러가 2개 있어야 한다.
(질문) 하나의 도메인이 여러 서브넷에 걸쳐 있을 수 있나요? Y
동일한 서브넷에 여러 개의 도메인이 있을 수 있나요? Y
1. 국토 확인 = dnsmgmt.msc
2. 건물 확인 = dsa.msc
Builtin 워크그룹에서 가지고 온 것들(사용권한)
Computers 멤버
Domain Controllers 도메인 컨트롤러
Users 새로 만들어진 것들 , 도메인 사용자 그룹
<실습>
user6의 속성 : 홈폴더를 tokyo의 my 폴더 설정하세요
http://my.northwind.com/user6 의 주소로 개인 홈피가 표시되도록 하세요.
영업부 부장 User6 홈피입니다.
<하는법>
tokyo 관리자계정으로 홈폴더에 my만들고
모든권한 주고 seoul로가서 Active Directory 사용자 및 컴퓨터로가서
User 6 의 속성 - 프로필에 홈폴더아래 연결 , 대상은 \\tokyo\my\%username%
DNS 관리자 northwind.com에 새 호스트 추가
my , IP는 tokyo랑같음 192.168.100.103
tokyo로 와서 역할추가 IIS 설치
IIS 실행하고 default web site 기본설정에
실제 경로를 변경하고 이때 상위폴더로 설정해준다 C:\my
그리고 주소창에 주소입력■ 암호화 (Encrypt) != 복호화
스니핑을 하더라도 내용의 의미를 알 수 없게 하는 것
문자치환법을 이용
- 단일키 (개인키) : 비밀키, 암호화와 복호화를 할 때 사용하는 키가 동일
장점 : 빠르다
단점 : 키 관리가 어렵다
- 공개키 = 이중키 : 인증서 (소인수분해)
상황1) tokyo서버에 김정국 사원이 담당하는 2023년 신규 프로젝트 파일이 저장되어 있다.
발표 전까지는 자신 이외에 아무도 볼 수 없길 바랍니다.
기밀 유지를 위해 김정국은 파일 암호화를 사용하였다.
user1으로 작업
C:\프로젝트\발표자료.rtf
프로젝트폴더 속성 - 특성에 고급 - 암호화 저장
※ tokyo에 다른 사용자, 관리자로 로그인하여 위의 파일을 실행해보자.
=> 모두 액세스 거부당함
상황2) 김정국 사원이 발표전 이직을 하게 되었다. 관리자는 user1 계정을 삭제하였다.
그 이후 user1이 작성중이었던 파일이 필요하게 되었다.
동일한 이름으로 재생성하여도 SID는 재생시킬 수 없다.
이러한 사유로 인증서 백업을 지시하여야 한다. => 외장하드
제어판 -> 사용자 계정 -> 파일 암호화 인증서 관리
user1으로 작업
vmware tokyo환경에 세팅으로 들어가서 하드디스크 1GB추가해준다
tokyo 관리자계정으로 들어가서 컴퓨터 관리 - 디스크관리에
추가한 디스크 온라인으로 변경해주고 초기화시키고 오른쪽 설명칸 우클릭해서
새볼륨추가 모두다음하고 이름만 외장하드로 변경해서 설치
user1으로 들어와서 사용자계정에 왼쪽에 파일암호화 인증서관리
백업위치는 외장하드 key폴더에 user1Key라고 백업위치설정
비밀번호 설정하고 다음
모든 논리 드라이브 하위에 로컬 디스크 하위에 프로젝트폴더 선택하고
저장하기
상황3) 김정국 사원 퇴사 이후 관리자는 미리 백업했던 키로써 암호화 문서를 읽으려 한다.
관리자 자신에게로 백업했던 키를 [가져오기] 하려고 한다.
관리자 계정으로 접속
윈도우 + R (실행) : mmc (Microsoft Management Console) 실행
파일 - 스냅인 추가 / 제거 - 인증서 추가하기
파일 - 다른이름으로 저장 - 바탕화면에 인증서관리라는 이름으로 저장
개인용 우클릭 - 모든 작업 - 가져오기 - 모든파일형식으로 변경해서
user1Key파일 가져와서 저장
<개별실습>
boston서버 C:\홍보연구\연구보고서1,2
대리 user3가 위의 문서를 작성하고 당분간 자신만 열 수 있게
파일암호화 설정을 하세요
user3는 자신의 파일암호화인증서를 아래와 같이 내보내기를 한다
C:\인증서\user3인증서 저장
관리자로 user3의 인증서를 자신에게 가져오기를 하여
연구보고서1,2의 암호화 속성을 제거하세요.
■ 권한 Right (특권 : privilege) 과 사용권한 (permission)의 차이점
● 권한
서버 시스템에 치명적인 문제를 발생시킬 수 있다.
shutdown, 시간 변경, 도메인컨트롤러에 로그인, 부품장비를 교체 등
관리도구 -> 로컬보안 정책 -> 로컬정책 -> 사용자 권한 할당
● 사용권한
관리자(administrator)가 일반 사용자에게 특정 공유 리소스를
사용할 수 있도록 승인해 주는것
각 공유 리소스(파일,폴더,공유프린터)에 적용되는 속성
개체 속성 -> 보안 탭에서 설정
공유 사용권한 : 네트워크를 통해 원격에서 접속할 떄 적용됨
보안 사용권한: 연결이후에 적용
공유 + 보안 사용권한은 1차필터와 2차 필터의 역할이다.
실무적으로는 공유 권한은 모든 권한을 준 후 보안에서 필요한
최소한의 사용권한을 할당해준다.
[참고] 공유 설정과 사용권한 할당과 같은 작업은 (관리자)만이 할 수 있다.
<실습>
boston서버에 [자료] 공유폴더를 생성하고 실습파일 1,2,3을 저장하세요
단, 공유 권한은 모든 권한
[자료] 폴더 속성 -> 보안 탭
user1 (읽기), user2(읽기 및 실행,쓰기) , user3(수정)으로 설정하세요
london, tokyo 등에서 각 사용자로 로그온을 한 후 [자료]안에 있는 파일들에 대해
아래와 같은 작업을 실행해보자.
1. 파일을 복사할 수 있다. user1,2,3
2. 파일의 내용을 수정한 후 저장을 할 수 있다. user2,3
3. 파일을 삭제하자. user3
4. 소유권 가져오기
user4 모든권한 주면 소유권도 가져올수있음
NTFS 파일권한 사용자에게 허용된 액세스 유형
====================================================
읽기 파일 내용보기, 파일의 특성, 소유권, 사용권한 보기
쓰기 파일 덮어쓰기, 파일의 특성 변경, 소유권, 사용권한 보기
읽기 및 실행 응용 프로그램 실행
수정 파일 수정 및 삭제
모든 권한 사용 권한 변경, 소유권 가져오기 
클라우드 엔지니어가 되고싶은 클린이