» 윈도우 서버+가상화 » [노트] Windows Server 액티브 디렉터리 기초(꼬알라 공부방)

[노트] Windows Server 액티브 디렉터리 기초(꼬알라 공부방)

강의 개요

  • 강의: 러닝웨이코리아 | 2014-01-22 | 오전 9:30~오후 5:00 | 백승주부장님
  • 내용:
    1. 액티브 디렉터리 개념 (도메인, 포리스트, 사이트, 트리, 도메인 컨트롤러, 글로벌 카탈로그, FSMO 등등)
    2. 액티브 디렉터리의 설치
    3. 계정 및 그룹 관리
    4. 그룹 정책을 통한 인프라 기본 관리
  • 소감: 작년 이맘때 IT 엔지니어가 되겠다고 마음먹은 나에게 중요한 시작이 되었던 강의. 한 해가 지났지만 여전히 중요성을 몸으로 체감하고 있는 Active Directory에 대한 이야기. 마지막으로 열리는 강의라는 말에 밤샘 끝에 긴 포스팅을 하고(…) 부리나케 참석했다. 작년에 참석하여 메모한 내용은 여기에서 볼 수 있다. 강의 중간중간 옆 자리에 앉은 분과 소소한 대화를 나눴다. 나이 차이가 별로 나지 않아 보이는 분이었는데, 때마침(?) 아크몬드라는 닉네임을 알아봐주셨다. 강의 내내 꼬알라님께서 내 닉네임을 불러 주신 덕분이기도 하다. 좋은 강의를 빠지지 않아 다행스러운 생각이 들었다.

필기한 내용

현 상황 이야기

  • 우리 엔지니어는 배포는 잘하는데 원리는 잘 모른다.
    • 기술의 의의를 알아야 함
    • Why를 알면 How-to는 자동으로 된다
  • 서버 구조 변화
    • 2003 : 다 열려있고 안쓰는 것을 막기
    • 2008 : 다 닫혀있고 쓰는 것을 열기
      • 그래서 어려워졌다.

보안의 3단계

  • id -> auth (인증) -> authorization(허가)
  • Authentication(인증): who am I? 로그온할때 id와 암호 물어보는 부분 -> 그 사람이라는 것을 증명
  • Authorization(허가): Attendee를 들고 Speaker Room에는 못 들어감
    • Right: 권한
    • Permission: 사용 권한

※ Right은 행위(what to do), Permission은 대상에 대한 행위를 말함. 못하는 것에 대한 구분을 확실히 하자.

clip_image001[6]

▲ 사용자 권한 할당(user right assignment) 항목들을 보자.

clip_image002[4]

▲ 여기에 everyone을 넣으면 아무도 로그온할 수 없다

clip_image003[4]

▲ 이런 권한에서 Administrator를 빼면 어드민도 해당 작업을 할 수 없게 된다.

MFA(Multi-Factor Authentication)

  • 지문, 동공 등(Biometric-Authentication)
    • 신체도 완벽한 것이 아님

Encryption(암호화)

  • Symmetric Key(대칭키)
    • +3, -3 등 암호화와 복호화 키가 같은 경우
    • 중간에 키를 훔쳐가면 암호화 의미가 없어짐
  • Asymmetric Key(비대칭키)
    • 암호화, 복호화용 키가 따로따로
    • PKI
      • 공개키와 개인키가 별도
      • 인증서를 발급하는 기관: CA(인증기관)
    • https
      • 인증서가 있다는 것은 비대칭키(공개키와 개인키가 있다는 것)
      • 한번 인증되면 대칭키로 인증해서 시스템 부하가 줄어듦

Mutual Authentication(상호 인증)

  • 무결성을 보장하려면 전자서명(Digital Signiture)이 있어야 함
    • A가 B의 공개키로 암호화해서 보내면 B의 개인키로만 풀어볼 수 있음, 반대의 경우까지 완료되었을 때 서로 나오는 데이터가 동일할때 보안성을 유지했다고 볼 수 있게 됨

OSI 7 Layers

  • 각 계층은 잘 알지만 TCP/IP와 연계해서 이야기해보라고 하면 잘 못함
    • 192.168.0.1/24 의 의미? 1이 8개 x 3 = 24개
    • 255.255.255.240 이라는 서브넷 마스크도 있음
  • 후니의 CCNA 책 정도까지는 봐놓는 것이 좋다

왜 AD라고 합니까?

  • Directory: 주소록, 전화번호부
    • 마이크로소프트는 어떤 식으로 직원 명부가 되어 있을까?
  • Active: 살아 있는
    • 주소록의 단점은 뭔가 바뀌면 손을 크게 봐야 함
      • 주소록이지만 내가 원할 때 무언가 변경을 하기 좋은 디렉터리라는 의미

MS가 엔터프라이즈 라고 보는 기준

  • PC가 70대 이상이라고 함

AD를 쓴다는 것은 ID를 주는 Provider가 누구냐는 것

  • DC가 인증을 하는 주체
    • DC에서 만든 계정을 쓰려면 Domain에 Join해야 함
  • 계정 관리를 중앙에서 하기 때문에 편리함

네트워크 폴더에 액세스할 때 인증창이 뜬다?

  • 니가 누군지 모르겠다는 의미.

AD가 없더라도 로컬 컴퓨터마다 ID, PW를 동일하게 하면 원격 관리도 하나의 계정으로 모두 가능

  • 하지만 하나의 컴퓨터가 비밀 번호가 바뀌면?? 싹다 바꿔야 하겠지..-_-
  • 조금만 신경쓰지 않으면 보안성이 확 떨어짐

AD를 쓸 때 C$, D$ 사용하는 것

clip_image004[4]

▲ 인증창이 뜨지 않게 하는 것이 Guest only. (Windows XP Home Edition의 방식)

clip_image005[4]

▲ Guest 계정을 사용할 수 없게 되어 있음.

중앙 정책 관리 기능

  • DC에서 관리 가능

clip_image006[4]

▲ 사용자의 시작 메뉴 관련 정책은 여기에

계정은 어디에 저장될까?

SAM DB에 저장됨(NT 시절 이야기)

  • Registry에 저장됨(SAM DB는 레지스트리에 있음)
  • Registry 최대 용량이 50MB
    • 총 계정은 5000개 만들 수 있음

※ Windows NT때는 Active Directory라고 하지 않고 SAM DB라고 불렀다고…

AD안에 있는 것은 뭘까?

  • DB(LDAP 프로토콜 사용 – 포트 389)
    • 계층형 DB(그래서 읽기만 빠름)이며 R(관계형)DB가 아님

Active Directory LDS(Lightweight Directory Services)

  • 옛날에 ADAM으로 부름
  • AD의 DB만 설치해주는 것(LDAP DB)
    • LDAP DB만 쓰는 서비스

AD 인증에 Kerberos 사용함

  • 암호화 표준

AD는 모든 것이 개체(Object)

  • 사용자를 만들면 상단에 ‘새 개체’라고 나옴
    • 사용자 속성 하나하나가 Attribute임
  • 자전거를 생각했을 때 Object는 Attribute를 가진 가장 작은 단위
    • Object를 만들면 무엇인가가 다닥다닥 붙어서 생성됨
  • 개체라고 하면 속성도 있다는 것
    • AD의 개체를 선택해 속성을 보면 Attributes를 볼 수 있음
    • ex) givenname, surname, proxyAddresses(Exchange에서 사용하는 e-mail 주소), displayname, l(location) 등
  • 뼈대가 있다는 이야기!
    • scheme: AD의 뼈대

DB이니까 쿼리가 가능해야 함

  • AD 관리 도구에서 찾기에서 고급에 들어가면 LDAP 쿼리를 넣을 수 있다.
    • ex) 직원 중 ‘백’씨를 다 찾아와라고 했을 때?

스키마

  • 사번으로 아웃룩에서 메일을 보내고 싶을때!
    • 스키마에 사번 속성을 만들어서 넣어주면 된다고…
    • Scheme안에 Attributes이 있음
  • AD를 설치하고 Exchange를 설치하면 Scheme 확장부터 들어감
    • 첫 단계임(포리스트 준비)
  • mmc에서 scheme 편집 가능

AD DB의 경로

  • C:\Windows\NTDS
    • Exchange Server와 동일한 형태의 DB 폴더 내용을 보여줌

도메인

  • AD를 만들면 첫번째 질문이 도메인의 이름임
  • 중앙에 DC가 있고 주변의 클라이언트가 DC에 가입되는 구조
    • AD의 도메인의 범위는 DC가 영향을 끼칠 수 있는 곳

도메인 설계

  • Business Request 에서 정치적으로 관계가 좋지 않으면 같은 곳에서 일하더라도 분리해야 할 경우가 생김
    • 또는 네트워크 속도가 엄청나게 차이날때 분리해야 할 수도 있다.(56kbps…)
  • 실제로는 도메인이 1개 있는 것이 이상적
    • 도메인이 하나라는 의미: 도메인 컨트롤러가 같다는 것
    • 가장 이상적인 것은 1 forest, 1 domain
  • DC의 배치를 어떻게 할 것인지에 대한 고민으로 이어진다
    • AD에서 정답은 없음
    • 하지만 한번 만들면 바꾸기 아주 힘들다

Forest

  • 같은 scheme를 쓴다는 의미
  • domain과 tree 형태로 연결됨
    • 기술적으로는 Trust가 Tree임!

OU(조직 구성 단위)

  • AD에서 묶을 수 있는 컨테이너
  • OU를 만드는 이유 3가지
    • 관리하기 편하려고(보기 좋으려고, 정리하려고)
    • 그룹 정책을 반영하기 위한 최소 단위
    • 제어 위임(자주 하는 작업의 권한을 특정 계정에 부여할 수 있다)
      • ex) 암호 재설정
      • OU에서 단축메뉴를 열어보면 나옴
  • 특정 OU에서 단축메뉴를 열어서 ‘여기에서 새 창 만들기’하면 특정 OU만 볼 수 있음
    • 그 화면을 *.msc 파일로 만들어 주면 됨

mmc(관리 콘솔)

clip_image007[4]

▲ *.msc 파일들임

**** 설치(실습) ****

dcpromo는 Windows Server 2012부터 할 수 없음

clip_image008[4]

AD 장애 70~80% 이슈는 DNS 관련

clip_image009[4]

clip_image010[4]

악성코드가 hosts 파일에 이상한 IP와 매칭해서 Windows Update가 안되게 만드는 경우가 있음

UNC 경로를 입력하면?

  • DNS 서버에 가서 물어봄.
    • AD에 가입되어 있다면 unc경로에 자동으로 .domainname을 붙여줌
  • 사용자 id, pw 입력 창: ‘난 너 몰라’라는 의미

WINS

  • NETBIOS를 DNS 이름으로 바꿔줌
  • 2003이후에는 WINS를 쓰는 서비스는 Windows에는 없음

LMHOST

  • NETBIOS 이름을 맞춰줌

clip_image011[4]

도메인을 만들 때 우리가 실제로 사용하는 형태의 도메인 주소를 넣어줘야 함

  • NETBIOS 호환성도 중요
  • 기존에 같은 도메인명이 있는지 확인하게 됨

DC 배치

외부

DMZ

내부

사용자

DNS

DC(DNS)

외부와 DMZ의 DNS가 소통하고, 그 DNS 서버가 내부의 DC(DNS)와 소통

  • 이런 형태를 선호하는 사람들이 있음
  • 하지만 Split-DNS는 하나의 서비스를 추가할 때마다…

내부에 DC가 있을 때 외부 사용자가 조인을 해야 한다고 하면 VPN을 사용할 것.

  • DC를 DMZ에 넣으면 안 됨!

clip_image012[4]

DSRM 암호: DC의 하드웨어에 문제가 생겨 안전모드로 넘어갔을 때 사용

clip_image013[4]

SYSVOL

  • 그룹 정책이 저장되는 곳

A가 B에게 차를 빌려줄때 A가 B를 신뢰해야 함(당연)

A.com(꼬알라) <-> B.com(아크몬드)

DC <-> DC

Resource Domain <-> Account Domain

DC끼리 트러스트를 맺으면 자동으로 양방향 트러스트가 됨

  • 상하관계에 있는 DC는 계단식으로 트러스트할 수 있음
  • 현실세계에서는 A가 B를 믿고 B가 C를 믿는다고 A가 C를 믿을 수는 없지만 AD에서는 가능
  • 트러스트의 단위는 도메인 단위
    • 2003년에 닷컴버블 빠지면서 인수합병이 많았다. 그래서 트러스트를 여러 서버끼리 할 필요가 없이 대왕(?)끼리 트러스트를 하면 만사가 해결됨
    • 합병 시 DNS끼리 룩업이 안되기 때문에 DNS끼리 서로 알게해주면 됨
      • 조건부 전달자

clip_image014[4]

DNS끼리 룩업시키기위해 조건부 전달자 추가(상호 알 수 있도록)

clip_image015[4]

여기에 추가하면 됨

DNS

정방향 조회

  • hostname -> IP

역방향 조회

  • IP -> hostname

clip_image016[4]

DNS 서버 속성을 보자

clip_image017[4]

먼저 루트(.)를 찾아간다 com -> koalra -> www 순으로 리턴

  • 루트 힌트(Root hint): 최상위 도메인
  • 위에 나오는 이름 서버를 모두 지워버리면 외부로 못나감.

clip_image018[4]

TTL: Time to live

DNS 값을 못 찾았다는 사실도 캐시를 하고 있음!

DNS는 리턴했을 때 먼저 자기와 같은 서브넷을 가져옴(우선 순위가 높음)

clip_image019[4]

SRV 레코드

  • 서비스를 알려주는 레코드

clip_image020[4]

클라이언트가 DC를 쿼리하는 방법

  • DNS를 Lookup. (서비스 레코드를 찾아보게 됨. DC를 만들면 자동으로 SRV 레코드를 만듦)
  • DC에 LDAP으로 쿼리를 넣어본다.

clip_image021[4]

DNS에서 가져온 값들의 목록

  • DC가 잘 깔렸을지 보는 방법이 이 SRV 레코드가 올라와 있는 것을 확인하는 것이다
  • 만약에 SRV 레코드가 지워졌을 때 AD DS 서비스가 재시작되면 다시 만들어지게 된다.

clip_image022[4]

드디어 AD DS가 서비스로 올라와 있음

clip_image023[4]

DC들의 성능이 달라서 머신별로 처리량을 다르게 해야 할 때?

  • 가중치를 가지고 조절함
  • 가중치가 낮을수록 먼저 처리
  • _tcp 에 있는 모든 값에 대해서 작업해야 함

clip_image024[4]

DNS 서버 속성: 외부로 나갈 때 특정 DNS를 통해 나가야 한다면 전달자를 설정하면 된다.

※ MCSE 시험 내용이 아주 좋다. 덤프만 봐도 여러 시나리오를 만날 수 있음

[[ 2번째 DC 올리기 ]]

clip_image025[4]

IP, Subnet mask, Gateway 넣고 기본 DNS를 DC01의 것으로 넣는다.

clip_image026[4]

DC02에서도 AD DS를 올린 뒤에 DC로 승격

clip_image027[4]

기존 도메인에 추가

clip_image028[4]

이런식으로 가입한 뒤 도메인명\Administrator로 접속하면 됨.

clip_image029[4]

고급 보기를 선택해야 특성 편집기가 보임

clip_image030[4]

앞의 CN은 Common Name, 뒤의 CN은 ContaiNer라는 뜻.

  • 전체 Forest에서 Unique한 값이 되어야 함

clip_image031[4]

department에 값을 넣으면?

clip_image032[4]

조직 탭을 보면 sales가 나타나 있다!

clip_image033[4]

ADSI 편집기

clip_image034[4]

컨텍스트란? 범위라는 의미

clip_image035[4]

싹 다 열어서 보자…

remind: 스키마? 뼈대.

clip_image036[4]

AD 사이트 및 서비스

clip_image037[4]

구성 -> Sites 부분을 보면 AD 사이트 및 서비스 값과 흡사하게 나옴

구성에서 Services -> Microsoft Exchange에 들어가 보면 익스체인지 관련 설정들이 다 저장됨

DNS에서 정방향 부분의 서버 속성을 보면?

clip_image038[4]

DNS 복제 옵션.

clip_image039[4]

기본값. 이 옵션때문에 DC을 올릴 때 DNS가 쌍으로 복제됨.

도메인과 포리스트의 차이는?

  • 포리스트 > 도메인
  • 같은 포리스트일 때 스키마가 같다
  • 도메인에 대한 구분만 틀릴 뿐 같은 포리스트에서 큰 틀은 같다

[[ AD의 DB를 그려보자 ]]

DC1

DC2

구성

구성

스키마

스키마

도메인

도메인

 

 

위 두 DC가 복제하는 중

다른 도메인에 DC3 만들어 DC2와 트러스트하면?

DC3와 DC2는 도메인 외에 복제.

DC3

DC4

구성

구성

스키마

스키마

도메인

도메인

 

 

DC3와 DC4가 같은 도메인이면 서로는 도메인까지 복제. 아하.

clip_image040[4]

DC가 잘 구성되었을 때(DC 유형이 GC임)

clip_image041[4]

NTDS Settings을 보면 글로벌 카탈로그에 체크되어 있음

  • 3268 포트를 사용함.
  • 2003 시절은 처음으로 설치한 DC만 GC였다고 함.
  • AD에서 무엇인가를 찾아 쓴다?
    • GC를 사용한다는 의미

모두 GC일 때 네트웍이 아주아주 느린 곳이 있다면 오히려 그 서버는 GC 기능을 끄는 것이 답일 수도 있다

clip_image042[4]

AD 스키마 추가

clip_image043[4]

스키마를 보자

clip_image044[4]

원하는 속성에 가서…

clip_image045[4]

ANR이 Exchange에서 이름 컨버팅 하는 부분.

  • 사번을 만들고 ANR을 켜주면 됨.

clip_image046[4]

Subnet에서 새로 만들어봄.

clip_image047[4]

사이트를 만들어보자

clip_image048[4]

사이트 링크 개체를 선택하십시오:

서브넷이 서울(10), 광주(11), 부산(12)이 서로 다를때 서울은 10, 광주는 11, 부산은 12 서브넷의 DC를 찾는 것이 빠르겠지?

※ 네트워크가 여러 개 있다면 네트워크 구조를 맞춰주는 ‘사이트 및 서비스’에 들어가서 사이트를 추가해 서버를 옮겨주는 형태로 작업을 해야 한다고 함

  • 빠르고 신뢰할 수 있는 네트워크를 하나의 사이트로 묶어줌
  • 사이트를 왜만드냐? 네트워크가 틀려서 조절해야 할 때

clip_image049[4]

네트워크 트래픽을 조절할 수 있는 부분

clip_image050[4]

기본적으로 복제되는데 3시간이 걸린다고 되어 있음

clip_image051[4]

일정 변경을 누르면 시간대를 선택 가능

사이트간 복제는?

사이트 내의 DC끼리는 빠르게 복제, 네트워크 트래픽의 압축을 하지 않음

clip_image052[4]

[자동 생성됨]을 보자. 서버’에서’ 라는 내용이 중요. Full 복제를 하게 됨

clip_image053[4]

clip_image054[4]

왜 자동 생성됨일까?

  • 가장 효율적인 방식으로 DC간 복제를 하도록 자동으로 설정됨. 물론 수동으로 변경도 가능.
  • DC가 새롭게 설치될때마다 체크를 함
  • 집에서 DC를 한대 더 올려서 복제를 걸어봐야겠다.

※ 인프라에서 SPOF(single point of failure? 단일 실패 지점)을 만들지 마라!

ABC가 서로 복제하고있을때 A<->C 비용 200, B<->C 비용 200이고 A<->B 비용 100이면 비용이 싼 A<->B로 복제하다가 그 복제가 문제가 나면 우회해 A<->C, B<->C 로 복제하게 됨

clip_image055[4]

강제 복제하기

clip_image056[4]

커맨드 프롬프트에서.

[꿀팁]

clip_image057[4]

DC01에서 DC02로 복제 명령을 수행하도록 시킴

clip_image058[4]

DC01에서 DC02의 ip 조회

clip_image059[4]

DC02의 프로세스 목록 확인

AD에 가입할 때 자기 계정을 넣으면 됨!

  • Administrator를 넣을 필요 없음!
  • 최대 10대까지 할 수 있음
    • ADSI 편집기에서 DS-MachineAccountQuota를 편집하면 이 값도 편집 가능

clip_image060[4]

AD에 가입된 Client PC가 올라옴

컴퓨터도 계정이 있는데, 그 계정에도 암호가 있고, 30일 주기로 암호가 바뀐다고 함(알아서 바뀜)

  • AD에 가입된 컴퓨터가 30일에 한 번이라도 교신이 안되면 DC에서 쫓겨난 것이라고 봄

clip_image061[4]

클라이언트 컴퓨터의 속성을 열면 특성편집기가 나옴. whenChanged가 30일 이상이면 사용하지 않는 계정이라고 함

  • 쿼리로 찾아낼 수 있겠죠?

Default Container

  • 새 사용자/컴퓨터 만들 때 Users나 Computers가 아닌 다른 곳에 저장되길 원할 때

Bulk Export/Import

AD DS Logon Process

clip_image062[4]

Administrator을 쓰지 말라는 이유

  • Built-in 계정의 SID가 규칙성이 있다.

klist

clip_image063[4]

Kerberos 토큰을 봄

  • AD에서 암호의 역방향 해독 안됨

TGT(a Ticket to Get Tickets) : 암호화된 암호

  • 티켓을 주는데 티켓을 암호화해서 줄때 이 티켓이 정말 DC가 준 것인지 확인하게 됨.
  • 암호화된 암호를 사용해 암호화해서 보내준다고 함.ㅎㅎ
  • 상호 인증을 통해 굳이 DC에 한번 더 가지 않게 해 줌

clip_image064[4]

DC01에서 DC02를 UNC경로로 접근한 뒤 klist를 실행하면 cifs관련해서 캐싱이 된 부분을 보여줌(마지막 부분)

※ klist purge : klist를 다 지워줌.

AD의 커베로스 인증

  1. TGT내가 갈 곳의 티켓 받기
  2. TGS 서비스 티켓 받기
  3. 서비스 티켓을 주고 세션을 할당받음(DC에 다시 가지 않아도 됨)

clip_image065[4]

컴퓨터 계정의 위임 탭

clip_image066[4]

cifs 등을 보자.

커베로스는 표준이기 때문에 Linux, OSX등은 AD가입은 안되더라도 SSO는 할 수 있음.

[[ Operation Masters ]]

옛날엔 PDC에서 고쳐서 BDC에 내려보내는 형식(Single-Master Replication Model)

현재는 DC <-> DC (Multi-Master Replication Model)

개체의 속성 변경 시

※ Attibutes 단위로 충돌나지 않으면 내용이 합쳐짐(Windows Server 2003 이후)

clip_image067[4]

스키마 마스터 변경

clip_image068[4]

도메인 구조와 관련된 것은 도메인 명명 마스터

  • 도메인 구조를 바꾸기 전까지 얘가 죽어도 아무 문제가 없음

clip_image069[4]

AD 사용자 및 컴퓨터에서 작업 마스터 들어가기

clip_image070[4]

RID 마스터가 1000개를 가지고 있어서 바닥날때까지 문제 발생하지 않음

clip_image071[4]

AD에 조인하면 시간동기화가 되는데 그 시간이 동기화되는 메인서버가 PDC 에뮬레이터임

  • PDC 서버를 ntp(network time protocol) 서버와 동기화하는 것이 필요 – 검색하면 나온다고 함
  • 사용자 암호가 변경되었다고 PDC에게 알려준다고 함. 암호가 정상적으로 바뀌었는지 확인하는 역할.
  • 얘가 잘못되면 옛날 암호로 접속되게 됨. 문제가 커짐.

clip_image072[4]

인프라 마스터

지금은 작업 마스터라고 하는데 윈도우 2000때부터 하던 부분은 FSMO라고 부름.

[[ 정리 ]]

  • AD는 최소 2대
  • AD중 하나가 잘못되면 사용자 및 컴퓨터에서 잘못된 DC를 지우면 쓰레기값을 날려줌!
    • 그리고 FSMO를 이전해줘야 함

※ 2003 DC를 2012 R2로 옮기고 싶을 때?

2003에 2012 추가 DC를 만들고 마이그레이션하면 된다고 함

[[ DC를 VM으로 만들 때 ]]

AD는 검사점을 사용하면 안 됨

  • 과거로 돌아갈 수 없는 설계
  • 2012부터는 DC 수준이 2012이상이면 오류는 나지 않는다고 함

DC의 DNS를 바라보게 하는 것을 크로스로 작업해주면 좋음(1은 2/3을, 2는 1/3을, 3은 1/2를 이런 식으로)

AD에서 무엇인가를 삭제하면 Tombstone을 만들고 60일간 보관을 한다고 함.

clip_image073[4]

휴지통 사용하면? 못바꿈

clip_image074[4]

Deleted Objects가 생김. 복구 가능해짐.

clip_image075[4]

도메인 전체에 대한 정책

clip_image076[4]

회사에서 10000대의 컴퓨터에 동일한 정책을 적용하고 싶을 때? 정책으로!

clip_image077[4]

필터를 잘 사용하면 좋다.

clip_image078[4]

필터를 사용해서 찾으면 편리!

clip_image079[4]

상속 차단으로 밑으로 내려보내지 않도록 할 수 있다.

AD 계정과 관련된 정책은 최소범위가 도메인임. 중역을 위해 도메인을 따로 만드는 경우가 있다고 함 ;;

  • FGPP(세분화된 암호 정책)
    • 암호 정책을 그룹 단위로 만들 수 있는 방법을 제공
    • 암호에 대한 것만
  • 2003 이전은 도메인을 쪼개야 함

※ 암호 복잡성이 준비되지 않으면 보안의 50%를 날리는 것이 됨.

[[ 팁 ]]

clip_image080[4]

기본 정책을 복원해주는 유틸리티 dcgpofix

clip_image081[4]

도메인 정책의 SID가 옆사람 PC와도 똑같구나! 기본 정책은 SID까지 동일한듯.

clip_image082[4]

그룹 정책 관리에서 SID를 확인해도 동일.

gpupdate / gpresult

RSOP? Resultant Set of Policy

clip_image083[4]

신기하네

clip_image084[4]

그룹에 프로그램 배포용

clip_image085[4]

네트워크에서 프로그램 설치에서 볼 수 있다고…

clip_image086[4]

새 그룹 만들기

그룹 종류

  • 배포: exchange 메일 보내기용
  • 보안: SID가 있음

그룹의 범위

  • 도메인 로컬: 서버에 쓰기 위한 그룹{ex) ‘DL – KORSVR01 – READ GROUP’을 만들어 파일 서버에 등록해놓기}
  • 글로벌: 사람을 묶기 위한 그룹{ex) ‘G – 그룹명 – ‘}
  • 유니버설: 회사 전체를 묶는 데 사용. GC에 저장된다.

※ 그룹 제대로 쓰는 법

  • 일반적으로 계정(A)을 그룹(G)에 넣고 권한(P)을 넣어도 작동이 되긴 함. 하지만 유지관리 부분에서 비효율적.
  • A->G->DL->P 이런 식으로 하는 것이 좋음

AD의 목적

  • DC에서 계정에 대한 모든 것을 해결하자

RODC(Read only DC)

  • RODC를 공격하더라도 변경 불가한 이점 활용 가능

AD에서 팁

  • 명명규칙!
  • 예제
    • DL – KORSVR01 – READ GROUP
    • DL – KORSVR01 – FULLC GROUP
    • G – SALES – GROUP
    • 마이크로소프트의 경우 컴퓨터이름에 KRDPEPC001
    • 이름의 경우 sjbaek
  • 퇴사했을 때 계정에 설정이 많다면 그 계정을 변경해서 주는 것이 나을 수도 있다.
    • MS는 퇴사 시 3년간 계정을 잠궈놓는다고 함, 도중에 다시 입사하면 활성화

Dynamic Group Membership

  • MS에서는 DAC라고 부름
    • Client가 Windows 8 이상이 되어야 함

※ 우리는 권한을 할당했다가 빼는 일을 잘 못함. 이럴때 Dynamic Group Membership을 사용하면 편리!

※ Office 365와 회사 도메인을 묶고 싶어요! 했을 때 회사 도메인 컨트롤러와 Azure DC와 묶기 힘드니 웹기반으로 트러스트를 맺는 것이 좋은데 AD FS를 사용하면 됨.

표준 기술이라 대부분의 퍼블릭 클라우드에서 지원함.

이것도 살펴보세요!

Azure Cloud Shell(Linux Bash)

에헹? Azure Portal에서 Linux Bash가? 콘솔 버튼이 생겼다! 아마 Bash or PowerShell로 적용 가능할 것 …

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.