Active Directory: 설정 및 문제해결 2(그룹 관리)

교재: 6425C – Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services

2일차 – 그룹 관리

그룹 관리

  • – 역할(Role) 기반 관리를 하라
  • – 리소스에 대해 사용자가 쓸 수 있는 것을 매칭
  • – 사용자와 리소스를 1:1로 매칭하는 것은 최악.
  • – 역할 그룹과 규칙 그룹을 만들어라

역할 그룹

  • – 조직의 형태를 본따 만듦
  • – 역할 그룹을 규칙 그룹에 포함.

사람은 그대로 있고 그룹만 만들면 됨.

  • – 트랜젝션이 적은 것이 좋다.
  • – 그룹과 그룹의 의존성을 없애서 가볍게 만들어라
  • – 그룹 간의 나비효과가 일어나지 않게 잘 만들어라

폴더나 파일 명명 규칙

  • – 이름만 보고도 누가 액세스 가능한지.
[이름 속성]

sAMAccountName은 도메인 내에서 고유해야 한다

cn과 그룹명은 OU내에서 고유해야 한다

  • 역할 그룹: 단순하고 고유한 이름(Sales, Consultants)
  • 관리 그룹: ACL_Sales Folders_Read
    • 접두어: ACL(관리 목적 그룹)
    • 리소스 식별자: Sales Folders(무엇을 관리하는가?)
    • 접미어: Read(액세스 수준)

보안 그룹만 SID를 가짐

  • – 배포 그룹은 해당 그룹에 전자메일을 보냄. SID가 없음
  • – 배포 그룹은 전자 메일에서만 쓴다.
  • – 기본적으로 보안 그룹으로 만들어짐
  • – 권한이 필요하면 보안 그룹으로 만든다.

** U: User / C: Computer

그룹의 범위

– 로컬 그룹

  • – 글로벌 그룹(GG): 포리스트 안의 다른 도메인으로 복제될 수 있음. 역할 정의를 쓸 때 글로벌 그룹을 씀. 멤버를 다양하게 품어줄 수 있는 그룹임.
  • – 도메인 로컬 그룹(DLG): 규칙 그룹을 만들 때 대부분 도메인 로컬 그룹을 사용함
  • – 유니버셜 그룹: 포리스트와 포리스트로 넘어가면 유니버셜 그룹으로 넘어감.
[그룹 관리 전략]

*** 4-16 요약 표 + 4-17 그림을 참조!!!

I-G-D-L-A

  • Identify: 사용자나 컴퓨터 식별
  • Global group을 만들어서 Identify의 것들을 집어 넣어라.
  • Domain Local group을 만들어 글로벌 그룹을 넣어라
  • Access: Domain Local group을 넣어라.

**멀티 도메인 포리스트: I-G-U-DL-A

“식별하고, 글로벌 그룹(조직,역할) 만들고, DL(규칙)을 만들어 Access 권한을 주면 된다.”

각 범위를 구분

  • – 복제:
  • – 멤버십
  • – 범위(사용 가능성)

**로컬 그룹: standalone 컴퓨터의 그룹

로컬 컴퓨터에 특정 도메인 사용자를 그룹 정책으로 내릴 수 있다!

[기본 그룹]

BUILTIN과 Users 컨테이너의 기본 로컬 그룹은 가급적 쓰지 말라. 필요하면 그룹을 만들어 그 그룹에 권한을 줄 때 필요한 것만 넣어서(커스텀 그룹을 만들어서) 써라.

– Enterprise Admins / Scheme Admins / Administrators / Domain Admins / Server Operators / Account Operators …

clip_image001

특수 ID: Windows가 제어하는 계정

  • – Anonymous Logon: 사용자 이름,암호 없이 컴퓨터에 연결(웹 서버)
  • – Authenticated Users: 인증된 ID. Guest ID는 포함하지 않음(Everyone과 차이는 Guest를 포함하는가의 차이). 공유 폴더에 Authenticated User를 추가하면 도메인에 있는 모든 계정을 다 추가하는 것과 동일.
  • – Everyone: Authenticated Users에 Guest까지 포함
  • – Interactive
  • – Network: 공유 폴더가 있는지 찾을 때 씀. 찾아지면 내 계정을 가지고 Permission이 있으면 사용 가능.

**AD에 조인하는 방법은 두 가지

  • – 컴퓨터 계정을 AD에서 만들어서 넣기: 사용자 권한으로 조인 가능
  • – 컴퓨터 계정을 만들지 않고 AD에 추가: 관리자 권한이 있어야 함. 그래서 컴퓨터 이름의 정책도 필요함.

그룹 만들기

clip_image002

아래의 Group name은 전체에서 고유해야 함.

그룹 멤버십 관리 방법

  • – 그룹의 멤버 탭 활용
  • – 멤버의 소속 그룹 탭
  • – 멤버의 그룹에 추가

그룹 종류와 범위 전환

  • – 보안 -> 배포 (그룹에 할당된 권한을 잃음)
  • – 배포 -> 보안

AD 사용자 및 컴퓨터에서 그룹 범위 변경 가능

  • – 글로벌 -> 유니버설
  • – 도메인 로컬 -> 유니버설
  • – 유니버설 -> 글로벌
  • – 유니버설 -> 도메인 로컬
  • – DL -> G나 G-> DL로 변경 불가하지만, DL -> U -> G나 G -> U -> DL로 변경 가능

AD에서는 ‘삭제’ 작업을 조심해야 한다. 한번 SID를 잃으면 복구하기 힘들거나 불가능함.

  • – Active Directory 휴지통을 켜놓으면 좋다.
  • – ‘삭제로부터 보호’ 옵션을 켜놓으면 좋다.

*** 그룹을 왜, 언제, 어떤 목적으로 누가 만들었는지 문서화를 잘 해놓아야 한다. Notes 부분에 해당 그룹에 대한 정보를 적어놓으면 좋다.(나중에 추출해서 문서화 가능)

ACL을 변경하기 위해 Apply가 아니라 OK를 클릭하라.(Apply로 적용이 되지 않는다.)

[팁] 파워쉘 사용 전에 시뮬레이션을 충분히 해보고 실제 머신에서도 -WhatIf 구문을 사용해보는 것이 좋다.

Set-AdGroup -Id ITConsultants -GroupScope Global -WhatIf

결과를 미리 보여 준다.(실제로 적용시키지는 않음)

[팁] Microsoft Network Monitor 유틸리티 잘 확인하면 좋다.

[[컴퓨터]]
  • 작업 그룹에서 SAM은 인증을 위한 기관이다.
  • 도메인에서 AD는 인증을 위한 기관이다.
    • 컴퓨터는 해당 도메인과 “트러스트” 관계

도메인 조인 요구사항

  • 도메인이나 작업 그룹의 멤버십을 변경하려면 Administrators 그룹의 멤버여야 한다.
  • 도메인에 컴퓨터를 조인하기 위해 AD Domain Services에서 권한이 있어야 한다.
  • 컴퓨터 개체는 해당 디렉터리 서비스에 존재해야 한다.
    • 컴퓨터 개체가 아직 존재하지 않는다면, 도메인의 컴퓨터 계정을 생성하는 권한 또한 필요

클라이언트 컴퓨터에 그룹 정책을 주려면 OU 밑에 있어야 함

  • 컴퓨터 계정을 위한 전용 OU를 만들어라.
    • 서버: 역할로 세분화
    • 클라이언트: 지역 이름을 많이 씀

컴퓨터 계정의 껍데기 만들기

FQDN : Fully Quallified Domain Name

  • 정규화된 도메인 네임

안전한 컴퓨터 생성과 조인

  • 알맞은 OU에서 컴퓨터 개체 사전 생성
    • 알맞은 OU에 있고 이동이 필요 없음
    • 그룹 정책이 조인 후 바로 해당 컴퓨터에 적용된다

기본 컴퓨터 컨테이너 구성

  • redicmp “OU=Dublin Workstations, DC=contoso, dc=com”

사용자가 컴퓨터를 생성하는 기능을 제한

  • 기본적으로 어떤 사용자든 10대의 머신을 해당 도메인에 조인 가능
  • ms-DS-MachineAccountQuota 값을 0으로 변경(프로비저닝 툴이 있어서 사용자가 도메인 조인을 할 권한이 필요없을 때)
    • ADSI 값 변경하면 됨.

-> 클라이언트가 많으면 프로비저닝하는 툴을 만들어야.

컴퓨터 계정 생성 자동화

  • CSVDE
    • 컴퓨터 계정 생성 또는 내보내기
    • OU 등 여러 속성들을 포함해 CSV 만들어서 가져오기
  • LDIFDE
    • 컴퓨터 계정 가져오기, 수정, 내보내기
    • LDAP 형태로 가능.
  • DSAdd
    • 컴퓨터 계정 생성과 초기 속성 설정
    • dsadd computer ComputerDN(고유 이름; DN)
  • NETDOM
    • 컴퓨터 계정 생성
    • netdom add ComputerName /domain:DomainName /ou:”OUDN” /UserD:DomainUsername /PasswordD:DomainPassword
  • PowerShell
    • New-ADComputer -SamAccountName DESKTOP123 …
    • Add-Computer

컴퓨터가 도메인에 가입될 때 AD와 약속된 임의의 비밀번호가 있다. 그래서 오랫동안 출장을 갔다가 도메인 환경에 돌아왔을 때 Trust Fail이 나타날 수 있음.

컴퓨터 특성 구성하기

  • Description
  • Location
    • 프린터 검색과 같은 위치 인식용 앱에서 사용
    • ex) US\WA\SEA\HQ\Building33\Floor3\Q04\1531
  • 관리자(Managed By)
    • 컴퓨터의 주 사용자에 연결
    • 해당 컴퓨터(서버)를 담당하는 그룹에 연결

clip_image003

컴퓨터에 문제가 생기면 누가 담당하는 PC인지 확인하도록 Managed by 구성.

clip_image004

AD 컴퓨터 이동

  • Get-ADComputer | Move-ADObject

컴퓨터는 계정을 가진다

  • sAMAccountName과 password
  • 보안 채널이 깨질 수 있는 시나리오
    • 동일한 이름으로 PC 재설치
      • 새로운 SID와 암호를 생성하게 됨 ;;
    • 이전 백업에서 PC를 복원하거나 컴퓨터를 이전 스냅샷으로 롤백하는 경우
    • 컴퓨터와 도메인이 해당 암호에 관해 동의하지 않는 경우

트러스트가 깨졌을 때 나오는 메시지를 분석하려면

  • Password
  • Trust
  • Secure channel
  • Relationships with the domain or domain controller

컴퓨터 계정 재설정

  • 새로운 계정 설정: SID, 그룹 멤버십을 잃는다
  • 재설정을 위한 옵션
    • AD 사용자 및 컴퓨터
      • 해당 컴퓨터 클릭해서 ‘계정 원래대로’ 클릭
      • 해당 PC는 재조인하고 다시 시작해야 한다
    • Test-ComputerSecureChannel -Repair

오랜 시간 동안 오프라인으로 있는 경우 컴퓨터는 사용 안 함으로 설정된다.

  • 퇴직 등으로 사용자를 비활성화 하는 것과 유사
  • 보안 채널 수립을 방지하여 캐시된 자격증명을 가지지 않는 사용자는 로그온 불가

AD 사용자 및 컴퓨터

  • 컴퓨터 오른쪽 클릭하여 ‘계정 사용’을 클릭하건 ‘계정 사용 안 함’을 클릭
  • 아이콘 우측하단에 내려갔다는 표시↓가 추가된다.

컴퓨터 계정 삭제와 재활용

  • 삭제는 SID와 그룹 멤버십을 파괴한다.
  • 컴퓨터의 위치를 변경하거나 재설치할 때, 해당 컴퓨터가 동일한 역할을 하는 경우, 그 컴퓨터를 삭제하는 대신 해당 컴퓨터 계정을 재설정해야 함
  • SID와 그룹 멥버쉽을 포함해 모든 속성을 보존

clip_image005

이것도 살펴보세요!

WSL: Linux용 Windows 하위 시스템 배포 삭제하기

명령 프롬프트를 실행 현재 설치된 배포판 리스트를 확인 wsl -l 배포판을 삭제해갑시다 wsl --unregister 배포판이름 …

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다