<사용자와 컴퓨터 오브젝트>
- 사용자 계정은 도메인 또는 로컬 컴퓨터 자원에 대한 접근 / 인증을 위해 존재
| AD DS (도메인 계정) – ABC\administrator local 컴퓨터 (로컬 계정) – mem\administrator |
- 사용자 생성시 security ID 생성됨 (SID)
<도메인 계정 이름 옵션>
1)user logon name - Woodgrove\Gregory
2)user principal name (UPN) - Gregory@WoodgroveBank.com
3)LDAP DN(LDAP distinguished name ) - CN=Gregory,OU=IT,DC=WoodgroveBank,DC=com
*CN(common name)
| woodgroveBank.com | |_____ IT | |________Gregry |
4)LDAP RDN (Relative distinguished name) - CN=Gregory
| ex)abc.com의 users에 있는 user1 표현 CN:user1,CN(container)=Users,DC=ABC,DC=com |
<passwd 옵션>
경로: gpedit.msc – windows – 보안설정 – 계정정책 – 암호정책
| password history : 패스워드 기억내용 (24개 암호기억) Length (길이) : 7자이상 complexity (복잡성): 대문자(uppercase), 소문자(lowercase), 특수문자(special characters), 숫자(numbers (4가지 중 3가지 만족해야 한다.) |
<사용자계정 구성하는 툴>
| Local computer account | Windows XP and Windows Vista®: User Accounts |
| Domain account | - Windows Server 2003/2008: Active Directory Users and Computers - Command-line utilities: dsadd, Windows Powershell™, CSVDE, LDIFDE |
<dsadd 명령어>
1) dsadd user
| ex) Users에 user4 계정을 생성 dsadd user “CN=user4,CN=Users,DC=abc,DC=com” -samid user4 –upn user4@abc.com –pwd dkagh1. |
| ex) 계정삭제: dsrm “CN=user4,CN=Users,DC=abc,DC=com” |
<사용자 관리 – 정보설정 및 탐색>
- ad컴퓨터에 사용자에 정보입력 후 멤버컴퓨터의 네트워크의 Active directory 검색기능을 통해 해당 사용자를 검색할 수 있다.
- 해당 사용자는 사용자명이나 사용의 정보를 통해 검색할 수 있다.
<컴퓨터 계정>
- 컴퓨터를 식별하기 위한 계정
1) 인증, 감사를 위해 사용
2) 그룹 정책을 관리하기 위해 사용
3) windowNT이상 버전에서 컴퓨터계정을 요구한다.
*그룹 정책 – 사용자 / 컴퓨터
<컴퓨터 계정 만드는 방법>
1) 도메인에 가입시 자동으로 생성
2) 부서별로 조직구성 후 미리 컴퓨터 계정 생성
<AD DS Object Management>
1) active directory를 이용한 사용자 및 컴퓨터 관리
2) dsadd /dsmod /dsrm
3) CSvde / Ldfde : 엑셀형태의 문서정보 파일로 정보 등록
<command line>
- dsget : dns명령어 (해당 정보 확인)
- net: 로컬명령어
<그룹과 조직구성 단위(OU)>
1) OU
- 도메인 환경의 디렉토리 오브젝트이다
- 그룹정책을 설정할 수 있는 최소단위
- 관리권한을 위임할 수 있는 최소단위
- 사용자, 컴퓨터, 그룹, 다른 OU, printer(공유 프린터)를 가질 수 있다.
| - 위임 기능 - 논리적 구조 표현하여 조직구성단위를 컨테이너로 만들수 있다 - 그룹정책을 강제로 설정할 수 있다. |
OU분할 - 위치별 / 부서별 / 리소스(object별 분류) / 관리적 목적 (권한의 위임)
<실습>
- 서울본사에 it부서에 사용자OU에 사용자 user4를 생성
- 서울본사OU에 총무부를 추가
<그룹>
- 계정에 대한 논리적인 묶음
- 그룹이 또 다른 그룹을 묶을 수 있다. (nesting 중첩)
<그룹의 형식>
1)보안그룹(seurity grop)
- 권한(permission) – how to use
- 사용권한(rights) – what to do: 명령어는 되지만 실제 실행할 수 있는지 여부
- exchange server 설치시 이메일 전송가능 (특수한 경우)
2)배포그룹(distribution group)
- 권한(permission)을 부여할 수 없다.
- 이메밀 전송용 그룹
<그룹의 범위>
| 글로버 그룹 | AD 생성가능 / |
| 유니버셜 그룹 | AD 생성가능 / |
| 도메인 로컬 그룹 | AD 생성가능 / 도메인 내에서만 가능한 그룹 |
| 로컬 그룹 | DM 생성가능 |
<구성원과 소속그룹>
- 구성원(members tab): 내 그룹에 속한 구성원이 누가 있는지
- 소속그룹(members of tab): 내 자신이 어디에 속해 있는지
| ex) domain admins그룹은 administrators 그룹에 속한다. administrator계정은 domain admins그룹에 속한다. |
- 구성원- - 소속그룹 -
<OU와 그룹의 차이점>
| OU | 그룹 |
| 그룹정책 부여 가능 | 그룹정책 부여 불가능 |
| 하나의 사용자는 하나의 OU에 속할 수 있다 | 하나의 사용자는 여러 그룹에 속할 수 있다. |
| 보안과 관련된 권한을 부여 불가 | 보안과 관련된 권한을 부여할 수 있다. |
| 메일 배포 불가 | 메일 배포 가능 |
**OU는 분류, 그룹분류, 권한위임
<그룹의 상관관계>
- Administrators > Power users > Users > Guests
1) domain users – 도메인 일반사용자 그룹
- Users > domain users > 사용자들, administrator
2) domain admins – 도메인 관리자 그룹
- Administrators > domain admins, enterprise admins > administrator
3) Guests – 게이트 그룹으로 아주 제한적인 그룹
- Guests > domain Guests, guest > guest
'IT > OS' 카테고리의 다른 글
| 윈도우서버 OU 그룹정책 (0) | 2024.01.31 |
|---|---|
| 윈도우서버 SID RID ACL (1) | 2024.01.31 |
| 윈도우서버 LDAP 서버역할 OU (0) | 2024.01.31 |
| 윈도우서버 구축 공유폴더 그룹정책 (1) | 2024.01.31 |
| Shell 정규화 awk (1) | 2024.01.31 |
