그룹전략
A >> G >> P
Account > Group > Permission
DL : Domain Local
U : Universal
- A DL P : A > DL < P
단일 도메인 환경
다중 도메인 모델(2000, 2008 혼용) 등이 섞여 있는 트러스트된 도메인
비권장- A G P : A > G < P
단일 도메인- A G DL P : A > G > DL < P : 암기(마이크로 소프트 사에서 권장함)
다중 도메인
MS 권장- A G U DL P : A > G > U > DL < P
다중 도메인
global catalog로 인해 비권장
실습
시스템 구성
ws01,ws02,ws03
(스냅샷 2_ADDS, 2_Client100, 2_Client200 으로)
ws01
dsa.msc
cmd 실행
for /l %n in (1,1,10) do dsadd user cn=user%n,ou=윤동규,ou=평일반,dc=estar987,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn user%n@estar987.com
확인
- 두 단계를 건너 뛰어서 그룹 범위 속성을 변경할 수 없으므로 다음과 같은 과정을 통해 도메인 로컬로 변경한다
결론
여러 사용자들을 그룹으로 한 번에 관리하여서 공유폴더와 같이 권한에 관련된 작업을 한번에 손쉽게 처리할 수 있다.임시로 권한을 바꿔주려고할 경우(권한을 열어주기)
결론
배포를 해 주면 ws02에서 ws01에서 만든 공유 폴더에 접속이 가능하다ws02에서 로그아웃 후 위에와 작업(보안으로 설정)
ADDS에 폴더 생성 후 공유
C:\ADLP C:\AGP C:\AGDLP C:\AGUDLP계정생성
AGP@itbank.com
ADLP@itbank.com
AGDLP@itbank.com
AGUDLP@itbank.com
dsadd user cn=AGP,ou=윤동규,ou=평일반,dc=estar987,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn AGP@estar987.com
그룹 생성
- AGP-G 글로벌 그룹 생성 AGP 계정 그룹 가입
- ADLP-DL 도메인 로컬 그룹 생성 ADLP 계정 그룹 가입
- AGDLP-G 글로벌 그룹 생성 AGDLP 계정 그룹 가입
- AGDLP-DL 도메인 로컬 그룹 생성 AGDLP-G 그룹 가입
- AGUDLP-G 글로벌 그룹 생성 AGUDLP 구성원 추가
- AGUDLP-U 유니버설 그룹 생성 AGUDLP-G 그룹 가입
- AGUDLP-DL 도메인 로컬 그룹 생성 AGUDLP-U 그룹 가입
Permission 추가
C:\AGP AGP-G 읽기, 변경 권한 추가
C:\ADLP ADLP-DL 읽기, 변경 권한 추가
C:\AGDLP AGDLP-DL 읽기, 변경 권한 추가
C:\AGUDLP AGUDLP-DL 읽기, 변경 권한 추가오류
→ 해결 방법 그룹에 추가가 헷갈리면 수정이 필요한 그룹을 더블클릭해서 직접 들어가서 한다
