강의 PPT: 14장. Active Directory 사용자 및 그룹관리
Download
Report
Transcript 강의 PPT: 14장. Active Directory 사용자 및 그룹관리
서버운영체제
14장. Active Directory 사용자 및 그룹관
리
2013년도 2학기 13주차
AD 사용자 계정과 조직 구성 단위 (1) [P567]
사용자 계정
'로컬 사용자 계정’ – 독립실행형 서버에서 단일 서버에
접근할 수 있는 계정
'도메인 사용자 계정’- Active Directory 도메인에 접근할
수 있는 계정
도메인 사용자 계정의 4가지 표현
(예로 hanbit.com 도메인(NETBIOS는 HANBIT)에 사용자
이름을 brainUser로 생성할 경우)
기본적인 도메인 로그온 이름: HANBIT\brainUser
UPN(User Principal Name): [email protected]
Distinguished name: CN=brainUser, OU=조직구성단위이름,
DC=hanbit, DC=com
Relative Distinguished name: CN=brainUser( 조직구성단위
안에서만 사용 가능)
AD 사용자 계정과 조직 구성 단위 (1) [P567]
기본 도메인 사용자 계정
Administrator – 관리자 계정
Guest – 손님 계정, 기본적으로 비활성
도메인 사용자 계정의 생성/수정/삭제
관리도구 – Active Directory 사용자 및 컴퓨터
AD 사용자 계정과 조직 구성 단위 (2) [P568]
조직 구성 단위
조직 구성 단위(Organizational Unit, 약자로 OU)는 사용자, 그룹, 컴
퓨터를 포함할 수 있는 Active Directory 컨테이너
쉽게 비교하자면 회사의 관리부, 회계부, 기술부 등의 부서 정도로 생
각하면 됨
OU에는 사용자뿐 아니라 컴
퓨터, 프린터, 그룹, 다른 OU
등을 모두 포함시킬 수 있다
OU는 도메인 내에서 여러 사용자를 하나로 묶어주는 역할을 함
<실습1> 도메인 사용자 계정, OU 생성 [P569]
[Brain Server] OU 생성하기
[관리도구]-[Active Directory 사용자 및 컴퓨터]를 실행해
‘hanbit.com’도메인 밑에 ‘관리부’OU 추가
<실습1> 도메인 사용자 계정, OU 생성 [P569]
같은 방법으로 ‘hanbit.com’도메인 밑에 ‘회계부’OU, ‘관리부’OU 추
가
<실습1> 도메인 사용자 계정, OU 생성 [P569]
OU 안에 OU 생성해보기 – ‘관리부’OU 안에 ‘공정팀’과 ‘인사팀’추가
<실습1> 도메인 사용자 계정, OU 생성 [P569]
공정팀 OU 삭제해보기 삭제 안됨 ‘실수로 삭제되지 않도록 컨
테이너 보호 옵션’이 기본적으로 선택되어 있기 때문임
삭제할 수 있도록 OU 보호 속성 해제를 위해 고급기능 활성화
<실습1> 도메인 사용자 계정, OU 생성 [P569]
공정팀의 속성에서 ‘실수로 보호되지 않도록 개체 보호’옵션 해제
공정팀 삭제 이번에는 됨
인사팀도 삭제 됨
앞에서 활성화했던 [고급기능] 메뉴 비활성화
<실습1> 도메인 사용자 계정, OU 생성 [P569]
[Brain Server] handit.com 도메인의 관리부에 ‘이경
규(kklee)’사용자 계정 생성
[관리부]-[새로만들기]-[사용자]
새 개체 창에 이경규(kklee) 사용자 계정 정보 입력
<실습1> 도메인 사용자 계정, OU 생성 [P569]
암호를 ‘p@ssw0rd’로 지정하고, 나머지 옵션을 아래처럼
선택하여 사용자 생성
<실습1> 도메인 사용자 계정, OU 생성 [P569]
생성한 사용자 계정의 속성 변경해 보기 사용자 접속
가능 시간 지정 연습
[계정]-[로그온시간]
<실습1> 도메인 사용자 계정, OU 생성 [P569]
일단 [모두]-[거부된 로그온] 선택 모든 요일/모든 시간에 로그
온이 거부되는 것임
<실습1> 도메인 사용자 계정, OU 생성 [P569]
이경규 사용자가 월요일~금요일, 시간은 9시~6시에만 로그온 할
수 있도록 지정하기 마우스로 드래그 - 허용된 로그온
<실습1> 도메인 사용자 계정, OU 생성 [P569]
점심시간인 12시 ~ 1시에는 로그온 안되게 하기 마우스로 드
래그 - 거부된 로그온
<실습1> 도메인 사용자 계정, OU 생성 [P569]
[주소] 탭에서 사용자 주소 입력해보기
<실습1> 도메인 사용자 계정, OU 생성 [P569]
[전화] 탭에서 사용자 전화번호 입력해보기
속성창 닫기
<실습1> 도메인 사용자 계정, OU 생성 [P569]
[Brain Server] 관리부 OU에 ‘김국진’ 사용자 추가
이경규 사용자와 같은 정보를 일일히 넣는 것은
낭비이므로, 직원템플릿을 만들고 템플릿으로부터
사용자를 생성하면 입력의 수고를 덜수 있음
직원 템플릿 만들기
Hanbit.com 을 클릭하고 [새로만들기] – [사용자]
템플릿 정보 입력
<실습1> 도메인 사용자 계정, OU 생성 [P569]
템플릿의 암호는 지정 안하고, ‘계정 사용안함’에 체크하여 생성
직원템플릿으로 속성으로 들어감
로그온시간, 주소, 전화번호를 ‘이경규’사용자에게 했던 것과 똑
같이 설정함
<실습1> 도메인 사용자 계정, OU 생성 [P569]
직원 템플릿을 이용해 김국진(kjkim) 사용자 생성하기
직원템플릿 복사
[개체 복사] 창에 성은 ‘김’, 이름은 ‘국진’, 로그온 이름은 ‘kjkim’으
로 입력
<실습1> 도메인 사용자 계정, OU 생성 [P569]
암호는 ‘p@ssw0rd’, ‘다음 로그온할 때 반드시 암호변경’과 ‘계정
사용안함’의 옵션체크 해제, ‘암호변경할 수 없음’과 ‘암호사용기
간 제한없음’ 체크하고 마침
김국진 사용자 관리부 OU로 이동하기
<실습1> 도메인 사용자 계정, OU 생성 [P569]
관리부에서 김국진 사용자 확인 후 로그온시간 설정 확인
주소, 전화번호도 확인 상세주소, 전화번호는 복사되지 않았을
것임(이 부분은 사용자마다 다르다고 전제하므로)
[Brain Server] 같은 방법으로 직원템플릿으로부터
4명의 사용자 생성
회계부 OU: 서태지(tgseo), 김장훈(jhkim)
기술부 OU: 안성기(skann), 박중훈(jhpark)
<실습1> 도메인 사용자 계정, OU 생성 [P569]
[Second] second 도메인에 ‘나세컨(scna)’ 사용자
생성
<실습1> 도메인 사용자 계정, OU 생성 [P569]
[WinClient] 새로 생성한 도메인 사용자로 로그온 해
보기
[로그오프]-[사용자전환]-[다른사용자] 후 이경규
([email protected])으로 로그온
<실습1> 도메인 사용자 계정, OU 생성 [P569]
[WinClient] second 도메인의 사용자로 로그온 해보
기
[로그오프]-[사용자전환]-[다른사용자] 후
[email protected]으로 로그온
<실습1> 도메인 사용자 계정, OU 생성 [P569]
Second가 자기 도메인이 아닌데도 로그온됨 제어판-
시스템 메뉴에서 WinClient 도메인 확인 hanbit.com
도메인에 소속되어 있는데도 second 도메인에 로그온 되
는 이유는 같은 포리스트 내 컴퓨터끼리는 트러스트 관계
에 있기 때문
Active Directory 그룹 [P578]
Active Directory 그룹 개요
그룹(Group)은 사용자 또는 컴퓨터의 집합
그룹은 다른 그룹을 포함할 수도 있음
그룹을 사용하는 가장 큰 목적은 편리하게 권한을 부여하
기 위함.
예) 100명의 사용자에게 동일한 권한 부여하기
Active Directory 그룹 분류
글로벌 그룹(Global Group)
도메인 로컬 그룹(Domain Local Group)
유니버설 그룹(Universal Group)
Active Directory 그룹 종류 (1) [P579]
① 글로벌 그룹(Global Group)
모든 도메인에 위치한 자원(공유 폴더, 프린터 등)에 권한
을 할당할 수 있는 그룹
글로벌 그룹을 생성한 도메인의 구성원만 포함
포함 가능 구성원
▶같은 도메인에 있는 사용자 계
정 또는 컴퓨터 계정
▶ 같은 도메인의 다른 글로벌
그룹
Active Directory 그룹 종류 (2) [P580]
② 도메인 로컬 그룹(Domain Local Group)
도메인 로컬 그룹은 글로벌 그룹과 반대
다른 도메인에 있는 사용자도 구성원이 될 수 있음
자원은 이 도메인 로컬 그룹이 소속된 도메인에 제한
포함 가능 구성원
▶ 모든 도메인의 사용자 계정
또는 컴퓨터 계정
▶ 모든 도메인의 글로벌 그룹
및 유니버설 그룹
▶ 같은 도메인의 다른 도메인
로컬 그룹
Active Directory 그룹 종류 (3) [P581]
③ 유니버설 그룹(Universal Group)
글로벌 그룹과 도메인 로컬 그룹을 합쳐 놓은 개념
모든 도메인의 자원에 접근 자원
구성원은 모든 도메인의 사용자 계정
포함 가능 구성원
▶ 모든 도메인의 사용자 계정 또
는 컴퓨터 계정
▶ 모든 도메인의 글로벌 그룹
유니버설 그룹의 정보는 글로벌
카탈로그(GC)에 모두 저장되어
야 하기 때문에 전반적인 Active
Directory 네트워크 성능에 나쁜
영향을 끼침
<실습2> Active Directory 그룹 실습 [P581]
앞서 Active Directory 그룹 설명에 나왔던 사용자,
그룹, 자원 생성해두기
[Brain Server] hanbit.com 도메인에 사용할 사용자 개체(
사용자, 그룹, 자원을 통틀어 일컫는 말) 생성
[관리도구]-[Active Directory 사용자 및 컴퓨터]
‘hanbit.com’에 한빛사용자([email protected]) 생성
<실습2> Active Directory 그룹 실습 [P581]
‘hanbit.com’-[새로만들기]-[그룹]으로 ‘한빛글로벌그룹’ 생성
그룹범위는 글로벌
같은 방식으로 ‘한빛도메인로컬그룹’ 생성 그룹범위는 도메인
로컬
같은 방식으로 ‘한빛유니버설그룹’ 생성 그룹범위는 유니버설
<실습2> Active Directory 그룹 실습 [P581]
최종적으로 생성된 그룹 확인
<실습2> Active Directory 그룹 실습 [P581]
탐색기에서 c:\hanbit자원 폴더 생성하고 c:\windows 아래의 파일
몇 개 복사해 두기
<실습2> Active Directory 그룹 실습 [P581]
[Second] second.hanbit.com 도메인에서 사용할 개체 생
성
[관리도구]-[Active Directory 사용자 및 컴퓨터]
‘second.hanbit.com’에 세컨사용자
([email protected]) 생성
<실습2> Active Directory 그룹 실습 [P581]
탐색기에서 c:\second자원 폴더 생성하고 c:\windows 아래의 파
일 몇 개 복사해 두기
<실습2> Active Directory 그룹 실습 [P581]
글로벌그룹 테스트하기
[BrainServer] 한빛사용자(hanbitUser)를 글로벌그룹에
가입시키기
[관리도구]-[Active Directory 사용자 및 컴퓨터]에서 가입시키기
<실습2> Active Directory 그룹 실습 [P581]
[BrainServer] 세컨사용자
([email protected])도 글로벌그룹에 가입
시키기 시도해 보기 안될 것임
<실습2> Active Directory 그룹 실습 [P581]
Hanbit.com 도메인 자원을 ‘한빛글로벌그룹’에 공유시키
기
탐색기 – c:\hanbit 폴더 속성
공유하되 공유권한에서 ‘Everyone’은 제거
<실습2> Active Directory 그룹 실습 [P581]
한빛글로벌그룹을 추가하고 모든 공유권한 부여
<실습2> Active Directory 그룹 실습 [P581]
공유폴더를 ‘Active Directory 검색’에서 찾을 수 있도록 등록하기
[Active Directory 사용자 및 컴퓨터] – hanbit.com – [새로만들
기]-[공유폴더] 후 hanbit자원 폴더에 대한 정보 입력
<실습2> Active Directory 그룹 실습 [P581]
[Second] second.hanbit.com 자원을 ‘한빛글로벌그룹’에
공유시키기
탐색기 – c:\second자원 폴더 속성
[second자원속성]창에서 [공유]-[고급공유]-[선택한 폴더 공유] 체
크 – [권한]
[second자원의 사용권한]창에서 ‘Everyone’ 선택해 제거한 추가
클릭
[사용자, 컴퓨터, 또는 그룹선택] 창에서 찾을 위치를 hanbit.com
으로 변경
<실습2> Active Directory 그룹 실습 [P581]
[사용자, 컴퓨터, 또는 그룹선택] 창에서 찾을 위치를 hanbit.com
으로 변경하고 <취소> 클릭
<실습2> Active Directory 그룹 실습 [P581]
등록한 ‘한빛자원’ 공유폴더에 대한 키워드로 ‘저장소’ 등록
<실습2> Active Directory 그룹 실습 [P581]
다시 [사용자, 컴퓨터, 또는 그룹 선택] 창에서 ‘한빛글로벌그룹’입
력하여 추가하고, 모든 권한 허용
<실습2> Active Directory 그룹 실습 [P581]
공유 폴더를 ‘Active Directory 검색’에서 찾을 수 있도록 등록:
[Active Directory 사용자 및 컴퓨터] – ‘second.hanbit.com’- [새로
만들기] – [공유폴더] [새 개체] 창의 이름에 ‘세컨자원’, 네트워
크 경로에 ‘\\192.168.111.20\second자원’ 입력
<실습2> Active Directory 그룹 실습 [P581]
[WinClient] 한빛사용자([email protected])으로 로
그온한 후 hanbit.com 도메인 자원 및 second.hanbit.com
도메인 자원을 사용할 수 있는지 확인
로그오프 후 [email protected] 사용자로 로그온
<실습2> Active Directory 그룹 실습 [P581]
탐색기에서 hanbit.com 공유폴더 주소 입력해서 공유 확인
탐색기에서 second.hanbit.com 공유폴더 주소
(\\192.168.111.20\second) 입력해 공유 확인
<실습2> Active Directory 그룹 실습 [P581]
공유폴더주소를 몰라도 키워드로 검색하여 찾을 수 있음
<실습2> Active Directory 그룹 실습 [P581]
도메인로컬그룹 테스트
[BrainServer] 세컨 사용자를 한빛도메인로컬그룹에 가입
시키기
[관리도구]-[Active Directory 사용자 및 컴퓨터]
‘hanbit.com’- ‘한빛도메인로컬그룹’의 속성에서 가입
<실습2> Active Directory 그룹 실습 [P581]
Hanbit.com 자원을 한빛도메인로컬그룹에 공유시키기
탐색기-c:\hanbit자원 폴더 속성
[hanbit자원 속성] 창 – [공유] – [고급 공유] - <권한>
권한 부여
<실습2> Active Directory 그룹 실습 [P581]
[Second] second.hanbit.com 도메인의 자원을 한빛도메
인로컬 그룹에 공유시키기
탐색기-c:\second자원 폴더 속성
[second자원 속성] 창 – [공유] – [고급 공유] – [권한] – [추가]
[사용자, 컴퓨터, 또는 그룹선택] 창 – [고급] – [위치] –
‘hanbit.com’ 선택 후 확인 하여 찾을 위치를 hanbit.com 으로 변
경
[사용자, 컴퓨터, 또는 그룹선택] 창에서 한빛도메인로컬그룹 선
택 시도 실패함. 도메인로컬그룹은 다른 도메인에서 접근할 권
한이 없기 때문임.
<실습2> Active Directory 그룹 실습 [P581]
[WinClient] 세컨사용자([email protected])으
로 로그온하여 hanbit.com 자원을 사용할 수 있는지 확인
로그오프 후 [email protected] 사용자로 로그온
탐색기에서 hanbit.com 도메인 자원에 접근해보기 됨
<실습2> Active Directory 그룹 실습 [P581]
탐색기에서 second.hanbit.com 도메인 자원에 접근해보기 실
패함
<실습2> Active Directory 그룹 실습 [P581]
유니버설그룹 테스트
[BrainServer] 세컨사용자를 한빛유니버설그룹에 가입시
키기
[관리도구]-[Active Directory 사용자 및 컴퓨터]
‘hanbit.com’- ‘한빛유니버설그룹’의 속성 – [구성원] 탭 - <추가> -
개체이름에 [email protected] 입력 - <이름확인>
- <확인>
[Second] second.hanbit.com 도메인의 자원을 한빛도메
인로컬 그룹에 공유시키기
탐색기-c:\second자원 폴더 속성
[second자원 속성] 창 – [공유] – [고급 공유] – [권한] – [추가]
[사용자, 컴퓨터, 또는 그룹선택] 창 – [고급] – [위치] –
‘hanbit.com’ 선택 후 확인 하여 찾을 위치를 hanbit.com 으로 변
경
<실습2> Active Directory 그룹 실습 [P581]
[사용자, 컴퓨터, 또는 그룹선택] 창에서 한빛유니버설그룹에 권
한 부여
<실습2> Active Directory 그룹 실습 [P581]
[WinClient] 세컨사용자
([email protected])로 로그온하여
second.hanbit.com 자원을 사용할 수 있는지 확인
로그오프한 후 [email protected] 으로 다시 로그
온
탐색기에서 second.hanbit.com의 자원에 접근해보기
Active Directory 그룹 실무 [P594]
실제로 그룹과 권한을 관리할 때 권장 사항
ADGLP
Account(사용자 계정) Global group(글로벌 그룹)
Domain Local group(도메인 로컬 그룹) Permission(권한)
<실습3> ADGLP 구현 [P595]
[Second] second.hanbit.com 도메인에 글로벌그룹(
세컨글로벌그룹) 생성
[관리도구]-[Active Directory 사용자 및 컴퓨터]
‘second.hanbit.com’ – [새로 만들기] - [그룹]
세컨글로벌그룹 생성
<실습3> ADGLP 구현 [P595]
세컨글로벌그룹에 세컨사용자
([email protected]) 추가
<실습3> ADGLP 구현 [P595]
[Brain Server] ADGLP 구현하기
한빛사용자([email protected])가 한빛글로벌그룹
에 가입되어 있나 확인
<실습3> ADGLP 구현 [P595]
한빛도메인로컬그룹에서 세컨사용자 제거
<실습3> ADGLP 구현 [P595]
한빛도메인로컬그룹에 한빛글로벌그룹 및 세컨글로벌그
룹 가입
[한빛도메인로컬그룹 속성]에서 한빛글로벌그룹 가입
<실습3> ADGLP 구현 [P595]
계속해서 세컨글로벌그룹 가입
<실습3> ADGLP 구현 [P595]
한빛도메인로컬그룹에 hanbit.com 도메인 자원사용권한
부여는 이미 했고, 한빛글로벌그룹에도 이 권한이 부여되
어 있으므로 권한 제거
탐색기 – c:\hanbit자원 폴더 속성
[hanbit자원 속성] 창 – [공유] – [고급공유] – [권한]
[hanbit자원 사용권한] 창 – ‘한빛글로벌그룹’ 제거
<실습3> ADGLP 구현 [P595]
[WinClient] 한빛 사용자([email protected])
및 세컨사용자([email protected]) 로 각각
로그온해 탐색기 주소에“ \\192.168.111.10\hanbit
자원”을 입력해 접근이 잘 되는지 확인
Windows Server 2008에서 제공 그룹 (1) [P598]
기본 로컬 그룹
독립 실행형 서버로 운영
주로 사용되는 기본 로컬 그룹
Windows Server 2008에서 제공 그룹 (1) [P598]
기본 로컬 그룹
독립 실행형 서버로 운영
주로 사용되는 기본 로컬 그룹
Windows Server 2008에서 제공 그룹 (1) [P598]
주요 기본 로컬 그룹
Windows Server 2008에서 제공 그룹 (2) [P599]
기본 도메인 로컬 그룹
도메인 컨트롤러와 Active Directory 서비스와 관련된 권
한을 가짐.
Windows Server 2008에서 제공 그룹 (2) [P599]
주요 기본 도메인 로컬 그룹
Windows Server 2008에서 제공 그룹 (3) [P600]
기본 글로벌 그룹 및 기본 유니버설 그룹
도메인 관리자, 도메인 컴퓨터, 도메인 컨트롤러, 도메인
사용자 등과 관련.
주로 Users 컨테이너에 들어 있음.
OU와 그룹의 차이점 [P601]
그룹은 동일한 작업을 하는 계정을 관리하거나 권
한을 부여하기 위한 단위이다.
OU는 사용자, 그룹, 컴퓨터 등을 배치할 수 있는 컨
테이너이다(폴더와 약간 비슷한 개념).
OU는 그룹 정책을 적용하기 위한 최소 단위로 사용
된다.
OU에는 권한을 줄 수 없다.
사용자 계정은 하나의 OU에만 가입할 수 있다.
사용자 계정은 여러 개의 그룹에 가입할 수 있다.