윈도우 서버-7

AD (Active Directory)

Active Directory는 Microsoft 사가 윈도우 환경에서 사용하기 위해 개발한 LDAP 디렉터리 서비스의 기능으로서 회사 직원들의 계정 정보(ID, Password)와 컴퓨터에 대한 정보, 그리고 회사에서 강제하고자 하는 정책들(ex- 패스워드를 최소 9자리에 30일마다 변경, 5분 이상 미사용 시 화면보호기 설정 등)에 대한 정보를 저장하고 있는 일종의 데이터베이스라고 생각하면 쉽다.
또한 네트워크상의 모든 리소스에 관한 정보(사용자 및 컴퓨터, 그룹 등)를 논리적 계층 구조로 중앙 저장소에 저장하여 네트워크상에서 인증을 통해서 언제 어디서라도 그 리소스를 검색하고, 액세스 할 수 있게 해주는 디렉토리 서비스이다.

---

*도메인 그룹 실습

• *홍길동 사용자(Server-B에서 생성한 사용자)를 도메인 로컬 그룹에 가입 시켜보기

  • Server-A / 서버 관리자 / 도구 / AD사용자 컴퓨터 / 도메인 그룹 속성 / kdhong@second.soldesk.com 확인
  • 확인 / 창 닫기

  

• *서버A자원 을 [도메인 그룹] 에 공유 시켜보기

  • C 드라이브에서 서버 A 자원 폴더 속성 / 공유 / 고급공유 / 권한 / 추가 / 도메인 그룹 입력 / 모든 권한 체크 / 적용 / 확인

• *서버B자원을 도메인 로컬 그룹에 공유 시켜보기

  • Server-B C드라이브 / 서버-B 자원/ 속성 / 공유 / 고급공유 / 추가 / 도메인 그룹 입력하면 찾을 수 없습니다.
  • ⇒ 서버-B의 공유 폴더는 도메인 그룹에 가입이 안됩니다.

• *홍길동 사용자가 도메인 로컬 그룹에 자원을 사용할 수 있는지 확인
  • Win-10 에서 홍길동 사용자로 로그인 / 기타 사용자 / kdhong@second.soldesk.com / pa$$w0rd
  • 작업 표시줄에 있는 폴더 클릭 / \192.168.0.10\A 그룹 자원 입력하면 자원목록이 보임 / 다운, 업해보면됨.
  • \\192.168.0.20\서버-B 자원 자원을 입력 해보면 액세스 금지 ⇒ 이유는 홍길동 도메인 로컬의 우선권을 가짐.

홍길동2로 접속해서 A 그룹 자원은 사용할 수 있지만, 서버-B 자원은 사용할 수 없다.
-> 이유는 홍길동 도메인 로컬의 우선권을 가지고, 도메인 그룹에 가입이 안되어있기 때문이다.

---

*유니버설 그룹 실습(모든사용자 가입 가능 / 모든 자원 사용가능 ⇒ 네트워크속도에 안좋아서 사용권장하지 않음)

• *홍길동 사용자를 유니버설 그룹에 가입시키기
  • Server-A / 서버 관리자 / 도구 / AD사용자 컴퓨터 / 유니버설 그룹 속성 / kdhong@second.soldesk.com 확인
  • 확인 / 창 닫기

• *서버B자원을 유니버셜 공유시켜 보기
  • Server-B / C드라이브 / 서버B자원/ 속성 / 공유 / 고급공유 / 추가 / 유니버설 그룹 입력

• *홍길동 사용자의 서버B 자원에 접속 해보기
  • Win-10 / 폴더에서 / \192.168.0.20\서버B자원 ⇒ 자원 목록 확인 및 다운 과 업로드 해보기.

• ping 8.8.8.8: 외부로 핑 테스트
• ping 127.0.0.1: 내부 네트워크 한 바퀴 돌아갔다 오는 핑 테스트

---

• *그룹 정책 / 상속 ⇒ AD상에서 진행 .
  • 보안 설정 : 암호정책, 잠금 정책 ⇒ AD를 통해 모든 사용자에게 강제 적용 가능.
  • 스크립트 지정 : 프로그램 실행시 자동으로 동작하는 프로그램 지정.
  • 폴더 리디렉션 : 어느 PC에서나 로그인시 자신의 PC환경을 가져와서 보여주는 기능
  • 소프트웨어설정 : 프로그램을 설치/삭제를 제어할 수 있음.

• *도구 / 그룹정책 관리 /

• *Defalt Domain Policy 우클릭 / 편집에서 설정 가능
  • *모든 사용자 암호 변경 ( 1234 ) / 도구 / AD 사용자 및 컴퓨터에서 사용자 찾아서 우클릭 암호변경
  • 안성기~ 손흥민 등 일반 사용자중 한명으로 Win10에서 로그인 해보기

---

관리부[ 김국진 / 이경규] , 기술부 [ 박중훈 / 안성기 ], 회계부 [ 아이유/손흥민 ] 설정 후

• *어떤 부서 [회계부 ]에 대해 제어판사용 못하게 설정 .

  • *정책 생성 / 도구 / 그룹 정책 관리 / 그룹 정책 개체 우클 / 새로만들기 / 제어판사용금지 / 확인

    • 생성된 정책 우클 / 편집 / 사용자 구성 제어판 / ~Control panel and PC Setting 클릭 / 사용
    • 왼쪽에서 회계부 우클 / 기존 정책 연결 / 제어판 사용금지 선택

    

    

  • *위에서 만든 정책은 C:\Windows\SYSVOL\sysvol\soldesk.com\Policies{FC5BEA30-2AF2-4D5C-B4D1-593CEEB991CB}\User에 저장

  

정책이 저장되는 위치는 C드라이브 Sysbol에 저장된다.(가장 최근 날짜)

• *윈도우에서 회계부 사용자중 한명(아이유, 손흥민) 로그인 / 제어판 을 검색하면 정책으로 인하여 열리지 않음

  • 다른 부서 사람으로 다시 로그인 해서 보면 제어판이 열림.

  

• *정책 해제 하기 ⇒ 제어판 사용금지 정책을 삭제 하고 다시 회계부 직원으로 로그인해서 제어판 사용해보기.

  • *정책을 생성 하거나, 사용자 암호 변경했는데 바로 적용이 안될때 윈도우10 바로 적용 시키는 명령
  • cmd 창에서

    • C:\Users\hmson>gpupdate /force 또는 윈도우10 을 재시작,
      정책을 업데이트하는 중…
      컴퓨터 정책 업데이트가 완료되었습니다.

    • 네트워크 사용금지, 익스플러 사용금지 등은 한 번 해보시기를..

      

정책을 설정후에 바로 적용 안될 때 정책을 업데이트 할 수 있다.

• *그룹정책에서의 상속 [ 기술1, 2팀 조직구성 단위 생성 하고 박중훈-1팀, 안성기-2팀에 배치]
  • 그룹정책 관리 / 그룹정책 개체 우클 / 새로 만들기 / 배경화면 변경금지 만들고 사용으로 /
  • 왼쪽에서 기술부 우클 / GPO연결 / 바탕화면변경금지 선택
  • 정책 적용확인 ⇒ win10에서 안성기, 박중훈 로그인해서 바탕화면 배경변경

• *강제 상속 설정 /
• 적용을 클릭 하면 강제 상속이 적용됨.

상속 차단한 결과 박중훈(기술 1팀)은 여전히 바탕화면 변경 불가하고, 상속 차단한 안성기(기술 2팀)은 바탕화면 변경 가능하다.

강제 적용후 안성기(기술 2팀)은 상속 차단해도 바탕화면 변경이 불가능하다.

그룹: 정책으로 지정, 폭이 넓다 , 조직 구성단위: 사용자 등을 모아놓은 것

---

정품인증

• 정품인증 / 시작 / cmd 아이콘 우클릭 / 관리자 모드로 실행
  • 명령어 한줄 입력 하고 잠시 대기하면 베너창이뜨면 확인 누르고 다음 명령줄 입력 해서 마지막 까지 진행.
  • 설치한 버전이 다르면 아래 참고해서 제품키 입력
    / 설치 버전 확인은 시작 우클 / 시스템에서 확인 가능

• Winow 10 정품인증 소속별로 정리한 표

---

*컴퓨터에 그룹정책 적용시키기 - 교육장, 시험장 등과 같은 똑같은 환경이 필요할때.

• *시험장 OU(조직구성단위) 생성 / 사용자 및 컴퓨터 /도메인 선택 하고 새만들기 / 시험장 생성.

  • *Win10을 시험장 OU에 넣기 / 왼쪽 Computer 선택 / WIN10 / 우클 이동 / 시험장

  • *그룹정책 생성 / 그룹정책 관리 / 그룹정책 개체 우클 / 새로생성 시험장 정책 / 확인

  • 생성된 시험장 정책 우클 / 편집 / 왼쪽[컴퓨터구성/정책/시스템/로그온] / 사용자 로그온 할때 다음 프로그램 실행 / 사용

    • ⇒ 실행 시키고 싶은프로그램의 경로 와 프로그램의 이름 및 확장자까지입력하면됨.
      *GPO연결 / 왼쪽 시험장OU 우클릭 / GPO연결 해서 시험장책 찾아서 클릭 /

    • *확인은 윈도우10 에서 사용자로 로그인 하고 잠시 기달리면 설정된 페이지(google)가 열림.

그룹 정책 관련은 그룹 정책 개체에서 설정

인식하기 위해 "쌍 따음표를" 넣어주는 것 주의

• *스크립트를 이용한 그룹정책 적용 ( 간단프로그램 작성 후 동작시켜서 프로그램 설정 내용이 적용되도록 )
  • *윈도우10에서 접속시 C 만들어 놓은 폴더(TEST) 폴더를 자동으로 연결시키기.
  • Server-A / C 에 폴더 생성 (TEST) 후 파일 몇개 넣기 / 우클 / 공유 / 고급공유 / 이름뒤에$ 붙이고(숨김), 권한 /
  • Everyone 는 제거 , / 추가 / 고급 / 지금 찾기 / Authenticated Users / 모든권한 / 적용, 확인 으로 모든 창 닫기
  • C / TEST 폴더에 메모장 생성 , 열기
    • @echo off
    • NET USE X: "192.168.0.10\TEST$" 입력 후 connect.bat(배치 파일) / 모든파일로 저장 .
    • 그룹정책 개체 에서 /
    • "\\192.168.0.10\C:\TEST\connect.bat" 또는 “\server-A\C:\TEST\connect.bat"

Authenticated Users: 인증된 사용자(AD를 통해 만든 사용자들)

---

• *그룹정책을 백업 -> Server-A
  • / 그룹 정책 관리 / 포리스트 아래 도메인 우클릭 / 도메인 표시 /
    • 백업할 정책 선택 후 우클릭 백업 / 그리고, 정책 삭제 후 다시 여백에서 우클릭 / 복구 클릭 하면 자동파일 탐지

GPO 삭제 후 백업 완료

• 폴더 리디렉션

  • 도메인 사용자가 어느PC에서든지 로그인 하면 기존 본인이 사용하던 PC 환경 그대로 가져오는것.

    • *Server-A 사용자 전용 폴더(SoldeskUser) 생성하고 파일 몇개 넣고 , 고급공유 시키고, 인증된 사용자등록, 확인 누르고 닫기까지
    • everyone 는삭제

• *정책 생성 : 그룹정책 개체 / 리디렉션정책 생성 / 편집 / 사용자구성 / 정책 / Windows 설정 / 폴더리디렉션 /

  • 문서 / 우클 속성 / 설정(S) - 기본 - 모든 사용자의 폴더를~~~ 선택 / 아래 루트 경로에 공유시킨 폴더
  • 경로 입력 / 적용 / 확인
  • *하나 더 경로 추가 ( ex:바탕화면 )

• sysprep = SID값 초기화 / 시스템 종료 선택 확인