Windows Server에서의 그룹
1) 그룹 일반
Windows Server에서의 그룹 적용 순서는
a. 그룹을 생성하고
b. 그룹에 권한(읽기, 쓰기, 실행)을 주고,
c. 해당 권한을 가져야 하는 사용자들을 그룹에 넣는다.
=> 이렇게 하면 해당 사용자들은 해당 그룹에 주어진 권한으로 작업을 수행할 수 있다.
d. 도메인 그룹에는 domain local group, global group, 그리고 universal group이 있다.
<- local group은 도메인이 아니라 로컬 호스트에 있는 그룹이다.
a) Domain Local group
- 자원 : 해당 도메인 로컬 그룹을 생성한 도메인의 자원 이용, 서울에서 자원을 만들었다면 이 자원은 도메인 로컬이 된다.
- 사용자 : 어느 도메인의 사용자도 사용 가능, 서울과 부산의 모든 사용자가 이 자원을 이용할 수 있다.
=> 가입되는 사용자는 같은 도메인에 있는 사용자나 리소스, 그리고 같은 도메인에 있는 다른 글로벌 그룹이 가입될 수 있다.
b) Global group
- 자원 : 해당 도메인 이외의 도메인의 자원 이용, 서울에서 자원을 만들었다면 부산에서 이를 이용하게 한다.
- 사용자 : 해당 글로벌 그룹을 생성한 도메인의 사용자만 사용 가능, 서울에서 만들면 서울 사용자만 가입됨
=> 모든 도메인의 사용자나 컴퓨터, 모든 도메인의 글로벌 그룹과 유니버설 그룹, 그리고 같은 도메인의 다른 도메인 로컬 그룹이 가입될 수 있다.
C) Universal group
- 자원 : 모든 도메인의 자원 이용, 서울에서 만들던 부산에서 만들던 무관하다.
- 사용자 : 모든 도메인의 사용자가 사용 가능
=> 모든 도메인에 있는 사용자와 컴퓨터 계정, 모든 도메인의 글로벌 그룹이 가입될 수 있다. 보안이 거의 없어서 잘 사용하지 않는다. 자원과 그룹, 사용자 문제가 있을 때 급하게 편하게 처리하느라고 이들을 글로벌 그룹으로 만들어 두는 경우가 있는데 반드시 나중에 제대로 조절해 두어야 한다!!! 신중히 생성하고 사용되어져야 한다.
==> 이렇게 다양한 그룹을 생성하는 이유는 어느 도메인의 사용자들이 다른 도메인의 자원을 이용하게 하기 위함이다.
d) Local group
로컬 호스트 머신에서의 그룹으로써
- 자원 : 도메인과 전혀 무관하게 해당 로컬머신의 자원 이용
- 사용자 : 해당 머신의 사용자와 자원만 사용 가능하다.
예를 들어 서울 메인 kahn.edu에 있는 데이터(자원)을 pusan.kahn.edu의 pusan1 사용자가 이용하게 한다면,
- 서울에서는 domain local group을 생성해서 .서울의 seoul1 사용자와 부산의 pusan1 사용자를 넣거나
- 부산에서는 global group을 생성해서 부산의 pusan1 사용자를 넣으면(서울의 사용자는 못 들어감)
=> 서울의 자원을 서울과 부산에서 모두 이용할 수 있다.
2) 권한 관리
자원이 공유하면 공유 폴더의 권한으로 인해서 한 사용자는 여러 그룹에 가입될 수 있는데 이 사용자의 최종권한은 누적(accumulated)되지만, 어느 하나에서라도 deny가 있으면 모든 그룹에서의 권한은 거부가 된다.
=> 공유된 파일/폴더에 대한 네트워크 접근에 대한 공유 권한과 로컬에서 접근할 때의 NFTS 권한과 더불어 한 사용자가 여러 그룹에 가입되었을 때의 권한 누적(그리고 deny)를 잘 알아야 한다. 그리고 파일과 폴더, 그룹에서의 상속(inherent)의 개념도 있어서, 자식은 부모 권한을 상속받거나, 상속을 거부해서 자식만의 권한을 따로 가질 수 도 있다.
하나의 도메인 내에서 작업할 때에너느 주로 'Active Directory 사용자 및 컴퓨터'에서 작업하고, 서울과 부산 등 여러 도메인에 걸친 작업을 할 때에는 'Active Directory 도메인 및 트러스트'에서 작업한다.
=> 부산에서 도메인 로컬(서울 사용자 가입)과 글로벌(부산 사용자만 가입)을 이용해서 서울의 리소스를 보게 하는 실습을 해보자.
홈 폴더와 로밍(Roaming) 프로파일 사용
서버에서 유용하게 사용되는 홈 폴더와 사용자별 프로파일을 알아보자
1) 홈 폴더
홈 디렉터리나 홈 폴더는 Linux에서의 home directory와 유사하게 로그온한 사용자의 문서를 저장할 수 잇는 네트워크 서버 내의 저장소이다. 사용자 문서의 백업 중앙화, 다수의 클라이언트 머신에서 홈 폴더에 접근 가능, 그리고 모든 버전의 Windows, MS-DOS에서의 접근 가능 등의 장점이 있다.
2) 사용자 로밍 프로파일 관리
프로파일은 사용자별로 적절히 설정된 환경을 제공하는데 사용자의 데스크 탑, 프로그램 설정 등을 사용자에 맞춰서 자동으로 실행되게 한다. 모든 사용자들은 관리자의 간섭 없이 컴퓨터에 로그온 할 때 자동으로 생성되는 기본 프로파일을 가지고 있다. 프로파일은 각 사용자가 로그 온/오프 시 동일한 설정을 가지게 하고, 데스크 탑 변경의 영향을 받지 않으며, 서버에 사용자 프로파일이 저장되어 있으면 어느 Windows 버전에서도 로그온 할 때 동일한 프로파일을 볼 수 있다.
프로파일에는 로컬 컴퓨터의 하드디스크에 저장되어서 로컬에서만 적용되는 Local Profile, 관리자가 서버에 생성해서 사용자가 어디서나 로그온할 때 동일하게 적용되는 Roaming Profile, 그리고 사용자가 바탕화면 등을 변경하지 못하게 하는 관리자만 설정할 수 있는 Mandatory Profile이 있다.
- 로컬 프로파일 : 로컬 프로파일은 사용자가 최초로 로그온할 때 로컬 컴퓨터에 생성되어 Default User 폴더 내에 컨텐츠가 저장된다. 사용자가 도메인 계정과 로컬 계정 두 가지를 가지고 있으면 둘 다 사용할 수 있다. C:\Users 폴더에 저장된다.
- 로밍 프로파일 : 이 설정은 여러 머신을 사용하는 사용자에게 어느 머신에서 로그온하던 간에 각 머신에 동일한 설정이 적용되게 한다.
보통 서버에서 C:\RProfileds식으로 공유 폴더를 생성하고 > 홈 폴더를 생성하듯이 각 사용자 계정의 사용자 속성에서 > 프로필 탭으로 가서 > 프로필 경로를 \WIN_SER\RProfiles\%Username%식으로 써준다 > 그리고 우클릭 > 공유 > 사용자로 Users를 넣고 '공동 소유'로 해준다. 이 폴더를 그룹이나 OU에 공유시켜도 된다 > 이제 확인해서 나가면 데스크탑 사용자 설정이 복사되고 서버에 저장되어 어디서나 접속하면 자신만의 바탕화면을 볼 수 있다.
