■ ActiveDirectory
- 데이터베이스
- 사용자들이 전체 도메인에서 공유리소스를 쉽게 찾고 사용하기 용이하도록 리소스에 대한 정보를 저장
- 시스템 구성, 사용자 프로필, 응용 프로그램 정보도 저장
- 그룹정책 (Group Policy)을 함께 사용하면 관리자가 알관된 관리 인터페이스를 통해 분산된 데스크톱,
네트워크 서비스, 소프트웨어 등을 중앙에서 원격 관리가 가능
- AD 기반의 인증 체계를 제공한다.
<질문> 사이트 = 서브넷
1) 하나의 도메인은 여러 개의 도메인 컨트롤러가 존재할 수 있다. Y
2) 하나의 도메인이 여러 개의 서브넷에 걸쳐서 있을 수 있다. Y
3) 하나의 서브넷에는 여러 개의 도메인이 있을 수 있다. Y
■ 여러 도메인사용자 계정 생성 : 최소 암호 길이를 0으로 설정
- csvde -i -f ~~.txt
- DN , objectClass , SAMAccountName , userPrincipalName , displayName , userAccountControl
"CN=이 순신 , OU=영업부 , DC=northwind, DC=com" , user , user10@northwind.com , 이 순신 , 512
"CN=박 수진 , OU=영업부 , DC=northwind, DC=com" , user , user11@northwind.com , 박 수진 , 512
"CN=정 희수 , OU=영업부 , DC=northwind, DC=com" , user , user12@northwind.com , 정 희수 , 512
"CN=김 나연 , OU=영업부 , DC=northwind, DC=com" , user , user13@northwind.com , 김 나연 , 512
"CN=최 수정 , OU=영업부 , DC=northwind, DC=com" , user , user14@northwind.com , 최 수정 , 512
■ 그룹정책
- 도메인 내의 사용자와 컴퓨터에게 사용할 프로그램, 바탕화면, 시작 메뉴, 작업표시줄 등을 원격으로 제어할 수 있다.
- 사용자의 잘못된 구성이나, 바이러스 등의 사고를 예방할 수 있다.
결과적으로 전반적인 시스템 성능 생산성이 향상된다.
- 유지보수 (Trouble Shooting) 의 원인이 개인의 부주의 등의 이유가 대부분이다
이러한 것을 미리 방지할 수 있다.
■ 기본 그룹정책 실습
1) 확인 : 그룹 정책 관리 -> [설정]탭
2) 영업부 제한 정책을 만들어 영업부 직원들에게 적용해 보자
사용자구성 -> 정책 -> 관리템플릿 -> 제어판 액세스 금지
생성한 정책 개체를 영업부에 연결하여 영업부 직원으로 자신의 PC에 로그인하면
제어판 항목이 사라지게 된다.
3) 영업부 / 영업1팀 / 광안지점
실습1) 상속
london에서 user2 로그인하여 제어판을 클릭해보자.
하위 조직의 사용자도 상속되어 제어판에 액세스할 수 없다
실습2) 상속차단
영업1팀 위치에서 [상속 차단]설정을 한 후 user2 재로그인
실습3) 강제 적용 gpupdate /force
영업부에 연결되어 있는 영업부제한정책 > (우클릭) > 적용 선택 후 user2 재 로그인
실습4) 영업부에 연결되어 있는 영업부제한정책 > (우클릭) > 삭제 선택 후 user2 재 로그인
실습5) 연구개발부에 적용할 그룹정책개체를 개인별로 설정해보자.
작업 표시줄 및 시작 메뉴 설정을 변경할 수 없음
그룹정책개체 > 사용자 구성 > 정책 > 관리템플릿 > 바탕화면 / 시작 메뉴 및 작업 표시줄 항목에서
제거하고 싶은 윈도우 구성 요소를 선택하여 자신이 원하는 정책을 연구개발부에 적용해 보자.
<실습> labfiles.zip 파일 압축 해제 후 C:\로 이동하고 공유 설정을 한다.
● 로그온/로그오프 스크립트 정책
사용자가 PC를 On 한 후 로그온 하자마자 반드시 하는 작업이 있다면
미리 스크립트를 작성하여 작업을 자동화할 수 있
● 폴더 위치 재지정 정책
- 보안상 이유로 직원 개인 PC의 디스크에 파일을 저장할 수 없다.
- 로그온한 컴퓨터와 관계없이 데이터를 사용할 수 있다
- 폴더의 데이터가 통합적으로 저장되므로 폴더에 있는 파일 관리와 백업이 쉬워진다.
<실습1>
직원들은 오피스 파일들을 반드시 내문서에만 저장토록 한다.
각자의 내문서 안의 파일들은 seoul의 C:\office 공유폴더로 위치가 재지정된다.
<실습2>
이미지를 [사진]폴더에 저장하고 위치를 london의 C:\img 폴더를 재지정하세요
● 도메인 보안 정책
로컬 보안정책은 각 서버에서 작업을 모두 해주어야 한다.
회사 내 모든 서버에 일괄적으로 적용을 하려면 그룹정책에서 설정해야 한다.
gpupdate /force 그룹정책 새로고침이고
적용대상인 컴퓨터는 재시작을 해주어야 한다.
● 소프트웨어 배포 정책
- 도메인에 로그온 : 해당 부서에 할당된 소프트웨어가 자동으로 설치
- 일반적인 설치 파일은 setup.exe install.exe
- 원격설치를 위해서는 msi형식 파일이 필요함
- 배포할 소프트웨어는 네트워크 경로로 설정해야 함
- 게시 : 제어판 --> 프로그램 및 기능 -> 네트워크에서 프로그램 설치
- 할당 : 자동 설치
- 고급 : 업그레이드 (cosmo1 -> cosmo2)
■ 다중 도메인 생성
※ 단일 도메인
- OU로써 조직도를 반영할 수 있다.
- 1000만 사용한 예가 있음 www.shell.com
- 업무영역, 부서를 구분하기 위한 목적으로는 여러 개의 도메인으로 분리할 필요가 없다.
- 현지 법인
samsungcnt.com
<실습>
london에서 새 사용자 생성 : 자재과 -> user1,2,3
tokyo를 uk 도메인에 Join하여 위의 사용자로 로그인하자.
- 관리템플릿 생성
- 로그온/로그오프
- 내문서 위치 재지정
클라우드 엔지니어가 되고싶은 클린이