*Server-B 에 Second 도메인 컨트롤러 구성. = DNS 192.168.0.10 으로 되어 있어야함
- 서버관리자 / 역할 및 기능 / AD Domain Services 체크 / ~ 설치까지 진행 하고 재부팅 / 로그인(pa$$w0rd2) /깃발 클릭 , 이 서버를 도메인 컨트롤러로 승격 / 배포 구성 창에서 기존 포리스트에 새 도메인을 추가 합니다 체크,
- 입력 하고 변경 클릭
- administrator@soldesk.com / pa$$w0rd1 입력하고 다음 /
- 도메인 컨트롤러 옵션 창에서 DNS 체크 해제, 복원 암호는 pa$$w0rd로 입력 하고 다음
netbios : 자동으로 찾아가게 해주는 기능
- 다음을 눌러 설치까지 기본값으로 진행 / 자동 재부팅
- 로그인 administrator@second.soldesk.com / pa$$w0rd2
-
부팅 후 Other user 클릭 후 로그인 로그인
- administrator@second.soldesk.com / pa$$w0rd2
-
서버관리자 / 도구 / AD 도메인 및 트러스트 클릭해서 부모/자식 관계 확인
- 부모: soldesk.com
- 자식: second.soldesk.com
*Server-C 에 RODC(읽기전용 도메인 컨트롤러 구성). = DNS 192.168.0.10 으로 되어 있어야함
- 서버관리자 / 역할 및 기능 / AD Domain Services 체크 / ~ 설치까지 진행 하고 재부팅 / 다시 로그인 후
- 깃발 클릭 후 이 서버를 도메인 컨트롤러로 승격 / 클릭 후 아래처럼 설정하고, 변경 클릭 하면 동그라미 부분에
- 도메인이 보여지면 구성 성공됨.
- 도메인 컨트롤러 옵션은 DNS, RODC 두가지 체크 하고 복원 암호는 pa$$w0rd 다음 눌러 진행 …
- RODC 옵션 창에서는 선택을 클릭 , administrator@soldesk.com / pa$$w0rd / administrator 입력 이름 확인
- 클릭 / 위임된 관리자계정에 SOLDESK\Administrator 가 등록되면 됨.
- 위임된 관리자 계정이 등록이 되면 다음 눌러서 설치까지 진행 …. 재부팅됨.
- Other user 클릭 후 / administrator@soldesk.com pa$$w0rd1 ⇒ Server-A 관리자 로그인 하면됨.
- 자식(Server-B) -> GC(administrator@second.soldesk.com)으로 로그인)
- 읽기 전용(Server-C) -> 읽기 전용(Server-A 관리자로 로그인)
- 부팅 후 영문을 한국어로 변경 하면됨. 시작 / 우클 / Setting 클릭 후 언어 변경 재부팅 후 pa$$w0rd1
- 부팅 후 연결 확인은 서버 관리자 / 도구 / 사용자 및 컴퓨터 / 도메인 컨트롤러 클릭 해보면
- Server-A 와 Server-C 가 보이면 성공.
AD 관리 및 활용 [ 본사(Server-A) 에서 지사(B.C) 서버를 관리하기 ]
- Server-A / 서버 관리자 / 관리 / 서버 추가 /
PC 등록
AD 등록
- *서버B.C 를 원격접속 가능하도록 설정
- Server-B ,C / 제어판 / 시스템 및 보안 / 원격 액세스 허용 /
- *방화벽 / 고급 설정 / 인바운드
- Server-C
- Server B 와 동일하게 설정
- *원격 접속 해보기 (컴퓨터 관리 기능 ) 원격 데스크 톱 기능 보다 관리가 편리함.
- Server-A 서버 관리자 / 모든 서버 / 서버B 또는 서버C 선택 하고 우클 / 서버관리 클릭 하면 해당 서버가 열림.
도메인으로 연결되어 있어서 연결해도 연결된 서버가 닫히진 않는다.(차이점)
서버B에서 서버A 의 자원(C,D등을 ) 을 원격 접속을 통해 사용할 수 있도록.
- 원격 데스크톱 연결/ 옵션 표시를 통해 C드라이브에 파일 공유 옵션 허용
- 원격 데스크톱 연결 / second.soldesk.com/ 연결/ 패스워드: pa$$w0rd1
- 원격 데스크 톱을 연결하면 서버 B에서 서버 A로 파일 공유 가능
*스냅샷을 실행 하는데 Win-10, C, B, A 순서대로 실행 ….
이후에 복구 할때는 반대로 복구 진행하면됨.. A. B. C. Win 순서로 .
Active Directory 사용자 및 그룹 관리
AD 사용자 계정과 조직 구성 단위 (1)
사용자 계정
-
'로컬 사용자 계정'과 Active Directory 도메인에 접근할 수 있는 '도메인 사용자 계정'이 있음
-
앞으로는 로컬 컴퓨터뿐만 아니라 Active Directory 도메인 전체에 대한 로그온할 수 있는 '도메인 사용자 계정'을 생성하고 관리할 것임
-
도메인 사용자 계정의 4가지 표현
(예로 hanbit.com 도메인(NETBIOS는 HANBIT)에 사용자 이름을 thisUser로 생성할 경우)- 기본적인 도메인 로그온 이름: HANBIT\thisUser
- UPN(User Principal Name): thisUser@hanbit.com
- Distinguished name: CN=thisUser, OU=조직구성단위이름,DC=hanbit, DC=com
- Relative Distinguished name: CN=thisUser(➔ 조직구성단위 안에서만 사용 가능)
AD 사용자 계정과 조직 구성 단위 (2)
조직 구성 단위
- 조직 구성 단위(Organizational Unit, 약자로 OU)는 사용자, 그룹, 컴퓨터를 포함할 수 있는 Active Directory 컨테이너
- 쉽게 비교하자면 회사의 관리부, 회계부, 기술부 등의 부서 정도로 생각하면 됨
▫ OU는 도메인 내에서 여러 사용자를 하나로 묶어주는 역할을 함
조직 구성 단위(OU)의 생성,삭제를 실습한다.
▫ 도메인 사용자 계정의 생성,삭제를 실습한다.
Active Directory 그룹
Active Directory 그룹 개요
- 그룹(Group)은 사용자 또는 컴퓨터의 집합
- 그룹은 다른 그룹을 포함할 수도 있음
- 그룹을 사용하는 가장 큰 목적은 편리하게 권한을 부여하기 위함.
Active Directory 그룹 분류
- 글로벌 그룹(Global Group)
- 도메인 로컬 그룹(Domain Local Group)
- 유니버설 그룹(Universal Group)
Active Directory 그룹 종류 (1)
- 글로벌 그룹(Global Group)
- 모든 도메인에 위치한 자원(공유 폴더, 프린터 등)에 권한을 할당할 수 있는 그룹
- 글로벌 그룹을 생성한 도메인의 구성원만 포함
Active Directory 그룹 종류 (2)
- 도메인 로컬 그룹(Domain Local Group)
- 도메인 로컬 그룹은 글로벌 그룹과 반대
- 다른 도메인에 있는 사용자도 구성원이 될 수 있음
- 자원은 이 도메인 로컬 그룹이 소속된 도메인에 제한
Active Directory 그룹 종류 (3)
- 유니버설 그룹(Universal Group)
- 글로벌 그룹과 도메인 로컬 그룹을 합쳐 놓은 개념
- 모든 도메인의 자원에 접근 자원
- 구성원은 모든 도메인의 사용자 계정
가입과 권한 부여를 전부 허용하기 때문에 나쁜 영향을 끼칠 수 있다.
AD 그룹을 종류 별로 모아놓은 것
*AD환경에서 사용자 와 컴퓨터 관리
- OU(조직 구성단위, 부서 ) 생성
- 서버관리자 / AD 사용자 및 컴퓨터 / 도메인 선택 우클 / 새로만들기 / 조직 구성단위[관리부,기술부,회계부 생성]
실수로 삭제되지 않도록 컨테이너 보호: 체크하면 아무나 못 지운다는 것/ 체크 해제하면 아무나 지울 수 있다는 것
- 잘못 생성한 OU는 맨위 보기 / 고급 기능 / 삭제 하려는 OU 우클 속성 / 개체 탭 에서 실수로 삭제되지~ 체크 해제
- 하고 삭제하려는 OU 삭제 해보면 삭제 됨. [ 삭제 후 보기에서 고급기능 비활성화 해줘야함 ]
-
*사용자 생성 및 관리
-
맨위 도메인 선택 / 우측 여백 우클 새로만들기 . 이 경규 , kklee
-
비밀번호는 pa$$w0rd 로 통일
-
사용자는 생성 후 부서 이동이 자유로움 우클릭 이나 드래그로 이동됨.
-
사용자 속성 / 계정 / 로그온 시간 설정으로 서버에 로그온 가능 / 불가능 설정 .
-
-
*많은 사용자를 한번에 생성 하려면…. 탬플릿 기능을 이용해서 생성해보기
-
탬플릿이란 기본적인 정보와 함께 공통으로 사용되는 정보 입력 해서 생성 후 사용자 생성시 복사해서
-
사용자 이름,암호만 입력하면 공통으로 입력해야 하는 사항들이 생략됨.
- *기술부 : 안성기( skann ) , 박중훈( jhpark ) 암호는 pa$$w0rd 로 통일
- *회계팀 : 아이유( iyou) , 손흥민(hmson)
-
-
*Server-A 에서 Server-B의 사용자를 생성 해보기.
-
서버관리자 실행 후 / 왼쪽 모든 서버 / Server-B 우클릭 AD 사용자 및 컴퓨터 클릭 /
- 왼쪽 second.soldesk.com 선택 / 홍 길동 사용자 생성
-
생성된 홍길동을 윈도우 10 에서 로그인 해보기( Server-B로 )
- kdhong@second.soldesk.com / pa$$w0rd
-
*3가지 그룹 생성 과 관리 ( 글로벌, 도메인 , 유니버셜 )
- *서버관리자 / 도구 / 사용자 및 컴퓨터에 그룹에 사용할 사용자 생성 ( 이순신 : sslee )
- *그룹 생성 / 도메인 우클 / 새로만들기 / 그룹 / 이름: 글로벌 그룹 생성
- *C에 폴더 하나 생성 (A 그룹 자원) 하고 파일 몇개 넣어 놓기
- *Server-B / administrator@second.soldesk.com 으로 로그인
- 홍길동2 사용자 / 계정 확인하고 없으면 하나 생성 C드라이브 서버-B 자원의 이름폴더 생성 하고 파일 넣기
- *글로벌 그룹 테스트
-
Server-A 에서 글로벌 그룹 속성 에서 Server-A에서 생성한 이순신 추가 ⇒ 글로벌 그룹에 추가 됨.
-
속성에서 홍길동2(서버B사용자) 추가를 하면 ⇒ 추가가 안됨.
-
- *도메인 자원을 글로벌 그룹에 공유 시키기
-
A그룹 자원 폴더 / 속성 / 공유탭 / 고급공유 / 공유체크, 권한클릭( everyone 제거 ) / 추가 클릭
-
글로벌 그룹 입력 확인 / 모든 권한 체크 / ~ 모든창 닫기
-
- *AD에서 검색을 해서 찾을 수 있도록 설정 .
- AD 사용자 및 컴퓨터 / 새로만들기 / 공유폴더 /
- 생성된 A글로벌자원 더블클릭 / 키워드 새값에 데이터 저장소, A자원저장소 등 쉽게 검색할 수 있는 단어 입력
- *서버B자원폴더 / 속성 / 고급 공유 / 권한클릭 Everyone제거 / 위치에서 soldesk.com 선택 / 선택할 개체 이름에
- 글로벌 그룹 입력하고 이름확인 클릭 / 확인 / 모든 권한 체크 /
-
*AD에서 검색을 해서 서버B의 자원을 빨리 찾을 수 있도록 설정 .
- Server-A ⇒ AD 사용자 및 컴퓨터 / 새로만들기 / 공유폴더 생성 생성된 폴더 속성 /
- 경로 및 키워드 등록까지 [키워드는 데이터저장소] - 여러개 등록 가능.
- *자원 사용가능 여부 확인 해보기
-
Win-10 에서 이순신으로 로그인 ( sslee@soldesk.com / pa$$w0rd ) 하고 파일 탐색기에
- \192.168.0.10\a그룹자원 입력하면 A그룹의 자원이 확인됨.
- 서버B 그룹 자원도 확인 \192.168.0.20\서버b자원 즉 아래 그림처럼 이순신은 모든 자원 사용 가능.
-
- *윈도우10에서 / 파일탐색기 / 1. 왼쪽 네트워크 선택 / 2. 맨위 네트워크 클릭 / 3. Active Directory 검색
- 키워드는 데이터저장소
- 탐색결과 우클릭 / 탐색 해보면 해당 폴더에 내용확인 가능.
icqa 실습용 에뮬레이터: 종류별 실습 가능, Win-10에 설치하면 좋다.
AD 그룹 생성 과 관리 실습 할 때 C드라이브에 만든 파일 이름으로 통일해주기
- 홍길동2는 글로벌 그룹에 가입되지 않아서 자원을 쓸 수 없다.
- 이순신은 글로벌 그룹에 가입되어 있어서 자원을 쓸 수 있다.
