[WinSER_05] Windows AD 설정 및 그룹 설정
0. 들어가기
- 지난시간에는 AD서버 구축을 진행하였다.
- 메인 manpage(서울)와 mia(부산)으로 지정하여 구축
1 . AD 구축 환경 확인
[+] 연결 확인
- 도메인 및 트러스트 연결상태
- manpage(서울) - > mia (부산)
- manpage AD서버에 연결된 호스트(Win7_1)
2. 로그인 확인
[+] HOST 컴퓨터에서 로그인
- 도메인/로컬 등 로그인 할 수 있다.
- 로그인 방법
- 도메인\사용자
- 사용자@도메인
으로 로그인할 수 있다.
[+] 관리자 권한으로 로그인
- 호스트(Win7_1)에서 서울(manpage)의 관리자 권한(administrator)으로 로그인
**WIN7_1 컴퓨터의 로컬 관리자는 manpage로 설정되어 있다 (중복되어)
3. 도메인에 Linux 서버 연결
- Windows server로 구성된 도메인에 Centos 머신을 워크스테이션으로 가입하기
[+] 연결에 필요한 패키지 설치
- yum -y install samba samba-doc samba-common samba-client samba- domainjoin-gui samba-common-tools oddjob krb5-workstation openldap-clients policycoreutils-python
- yum -y install sssd sssd-tools sssd-client sssd-common
[+] hosts 및 도메인 추가
- adcli info 를 통해 정보확인
[+] 도메인 연결
- authconfig-gtk 사용하여 도메인 연결
**GTK: C로 구현된 객체지향 GUI 라이브러리
4. mmc 설정
- 도메인을 관리하기 위해 필요한 여러 도구들을 한곳에 모아놓은 관리 콘솔
[+] 기본 설정
- 방화벽 설정
[+] 스냅인 추가 - 이벤트뷰어
- 파일 -스냅인 추가/제거
- 필요한 스냅인을 추가하여 사용.
- 이벤트뷰어를 추가
[+] 이벤트 뷰어 확인
- WINSER1(manpage)서버에서 WINSER2(mia)서버의 이벤트 뷰어를 확인할 수 있다.
- 이벤트 뷰어 파일은 저장하여 관리할 수 있다.
[+] 원격 접속 허용
- WINSER2(mia)에서 원격으로 접속할 수 있도록 설정
- 제어판- 시스템 -원격
[+] 원격 접속 확인
[+] 이벤트 확인
- 원격 접속한 이벤트를 확인할 수 있다.
5. OU (Organization Unit)
- 도메인 내에서 각 자원을 분류하는 것으로 OU를 AD의 Container(컨테이너)라고 부르기도 한다.
[+] 조직 구성 만들기
**실수로 삭제되지 않도록 설정할 경우 일반적으로 삭제할 수 없다.
**다만, [보기] -> [고급 기능] 선택한 후 삭제할 개체의 "실수로 삭제되지 않도록 개체보호" 체크를 풀고 삭제할 수 있다.
[+] 도메인 그룹 및 보안 정책
- 시작 - [gpmc.msc] 입력하고 작업
[+] 도메인 그룹 정책 관리
- 그룹 정책 관리에서 [편집] - 을 선택하여 설정
[+] 계정 정책
- 암호 정책 설정
[+] 계정 잠금 설정
- 설정한 정책 적용
- CMD
[+] 유저별 정책 설정
- 로그온 설정
[+] 정책 매크로 만들기
- 표준 직원 정책 샘플을 만들어 적용
- 사용자를 만드는 방법은 같으나, 다음 로그온할 때 반드시 암호 변경" 을 선택해준다.
> 즉, 추후 로그인 할 때 사용자가 비밀번호를 새로 입력하여 사용할 수 있다.
- 작성된 샘플 유저를 복사하여,user1,2,3을 만들어 준다.
- 복사된 유저들의 로그온 시간 설정 정책이 동일하다.
[+] 로그인 확인
- WINSER1에서 유저 정보 확인
- 호스트에서 로그인시 암호변경하여 사용 가능 && user1
** 정책이 적용된 USER1
5.도메인 로컬 그룹 / 글로벌 그룹
- Domain Local group
> 자원 : 해당 도메인(manpage.edu) 로컬 그룹을 생성한 도메인의 자원(manpage.edu) 이용
> 사용자 : 어느 도메인(mia.manpage.edu)의 사용자도 사용 가능
=>같은 도메인에 있는 사용자나 컴퓨터, 그리고 같은 도메인에 있는 다른 글로벌 그룹이 가입 될 수 있다.
▪ Global group
- 자원 : 해당 도메인(manpage.edu) 이외의 도메인의 자원(mia.manpage.edu) 이용
- 사용자 : 해당 글로벌 그룹을 생성한 도메인(manpage.edu)의 사용자만 사용 가능
=>모든 도메인의 사용자나 컴퓨터, 모든 도메인의 글로벌 그룹과 유니버셜 그룹, 그리고 같은 도메인의 다른 도메인 로컬 그룹이 가입될 수 있다.
▪ Universal group
자원 : 모든 도메인의 자원 이용
사용자 : 모든 도메인의 사용자가 사용 가능
=>모든 도메인에 있는 사용자와 컴퓨터 계정, 모든 도메인의 글로벌 그룹이 가입될 수 있다.
<= 자원과 그룹, 사용자 문제가 있을 때 급하게 편하게 처리하느라고 이들을 글로벌 그룹으로 만들어 두는 경우가 있는데 반드시 나중에 제대로 조절해 두어야 한다!!! 신중히 생성하고 사용되어져야 한다.
▪ Local group : 로컬 호스트 머신에서의 그룹으로써 도메인과 전혀 무관하다
자원 : 해당 머신의 자원만 사용
사용자 : 해당 로컬머신의 사용자만 사용 가능
[+] 도메인 로컬 그룹 사용
- 도메인 관계 확인
[+] 신규 사용자와 각 그룹 생성
- 도메인로컬
- 그룹
- 유니버셜
[+] 공유 리소스 생성
[+]WINSER2 설정
- mia도메인으로 로그인 후 신규 사용자 및 도메인 생성
** 암호 정책 문제 발생시 정책 업데이트(gpmc.msc)
- 그룹 생성
- 부산(mia)도메인에서도 아래와 같이 그룹을 생성
- 도메인로컬
- 그룹
- 유니버셜
[+] WINSER2에서도 자원 폴더를 생성
[+] 도메인 로컬 그룹 설정
- WINSER1에서 AD사용자 및 컴퓨터
- 로컬 그룹의 경우 서울(manpage),부산(mia) 의 모든 유저를 선택할 수 있다.
- 자원 추가
- 폴더의 고급 공유 -" man_domainlocal" 그룹에게 사용 권한 부여
** WINSER2에서는 도메인 로컬이 뜨지 않는다.
[+] 접속확인
- 부산의 Klaus@mia.manpage.edu가 접속하여 공유된 폴더 MANPAGE_edu-RES를 확인할 수 있다.
[+] 글로벌 그룹
- WINSER1에서는 사용자 추가시 부산(mia)를 추가할 수 없다
- WINSER2에서는 자원공유할 서울(manpage)유저가 있는 것을 확인할 수 있다.
