Windows Server 2012 R2: 고급 사용자 계정 관리(로밍 사용자 프로필)

http://archmond.net/?p=6780 에서 이어지는 글

Mastering Windows Server 2012 R2 도서를 보며 진행(1380 페이지)

DFS(분산 파일 시스템) 설치는 http://archmond.net/?p=6739 참고

로밍 사용자 프로필: 사용자 프로필을 파일 공유로 리디렉션하여 사용자가 여러 컴퓨터에서 동일한 운영 체제 및 응용 프로그램 설정을 받을 수 있도록 합니다. 사용자가 파일 공유를 통해 설정된 계정을 프로필 경로로 사용하여 컴퓨터에 로그인하면 이 사용자의 프로필이 로컬 컴퓨터에 다운로드되어 로컬 프로필(제공되는 경우)과 합쳐집니다. 사용자가 컴퓨터에서 로그오프하면 사용자 프로필의 로컬 복사본이 그동안 변경된 내용을 포함하여 프로필의 서버 복사본과 합쳐집니다. 로밍 사용자 프로필은 일반적으로 네트워크 관리자가 도메인 계정에서 사용하도록 설정됩니다.

출처: <https://technet.microsoft.com/ko-kr/library/hh848267.aspx>

로밍 프로필 개요는 위 문서 참조.

도서에 의하면 프로필에는 크게 ‘파일과 폴더’, ‘ntuser.dat’가 있으며…

다른 유형의 콘텐츠는 아래와 같은 폴더에 파일로 저장되어 있다고 한다.

  • 내 문서
  • 내 음악
  • 즐겨찾기
  • AppData
  • 바탕 화면

로밍 사용자 프로필 배포: 이 항목에서는 Windows Server를 사용하여 Windows 클라이언트 컴퓨터에 로밍 사용자 프로필을 배포하는 방법에 대해 설명합니다.

출처: <https://technet.microsoft.com/ko-kr/library/jj649079.aspx>

관련 TechNet 문서는 위를 참조.

———–로밍 프로필 공유 만들기———–

clip_image001

FILE1 서버에 Profiles 폴더 생성

clip_image002

폴더 속성 > 보안 > 고급

clip_image003

상속 사용 안 함

clip_image004

위와 같이 구성

clip_image005

Authenticated Users의 경우 ‘고급 권한 표시’하여

clip_image006

이렇게 3가지를 체크함.

clip_image007

결국 이렇게 구성됨

clip_image008

새 공유

clip_image009

사용자 지정 경로에 Profiles 폴더 선택

clip_image010

Profiles$라는 이름을 입력

clip_image011

사용 권한을 확인하여 다음으로

clip_image012

만들기

clip_image013

Profiles$ 공유 생성됨.

clip_image014

New-DfsnFolder -Path ‘\\Archmond.kr\ArchmondShares\Profiles’ -TargetPath ‘\\FILE1\Profiles$’ -EnableTargetFailback $true -Description ‘사용자 프로필 디렉터리’

DFS 네임스페이스의 프로필 공유를 만듦.

clip_image015

DFS 관리에서 보면 Profiles 항목이 생김.

clip_image016

\\Archmond.kr\ArchmondShares 폴더에 프로필 폴더 생김

clip_image017

ADUC에서 여러 사용자를 선택해 속성 창을 연다.

clip_image018

\\Archmond.kr\ArchmondShares\Profiles\%USERNAME%

프로필 > 사용자 프로필 > 프로필 경로에 위와 같은 경로를 입력. 확인.

clip_image019

클라이언트 컴퓨터 로그인.

clip_image020

프로필로 검색하면 ‘고급 사용자 프로필 속성 구성’을 볼 수 있음.

clip_image021

유형이 ‘로밍’으로 되어 있음.

clip_image022

또는, 고급 시스템 속성에서 ‘사용자 프로필’ 설정에 들어가면…

clip_image023

다른 ‘로컬’에 비해 방금 로그인한 gildong 사용자가 ‘로밍’인 것을 확인 가능.

clip_image024

바탕 화면 배경, 단축 아이콘 동기화 됨.(서로 다른 VM에서 같은 ID로 들어왔을 때.)

clip_image025

문서 폴더 동기화 됨.

clip_image026

사진 폴더. 이거 신기한데?

clip_image027

뭔가 데이터가 쌓일 때마다 로밍 프로필이 커져가는 것을 볼 수 있음.

clip_image028

재미있는게, 로그온한 컴퓨터의 C:\Users\%USERNAME% 에 캐시가 된다.

clip_image029

이런 식으로… 도서에 의하면 로그아웃할 때 서버에 캐시된다고 함. 다시 로그인하면 기존에 없었던 새로운 파일만 내려 받는다고 함. 편리하구나.

———-관리자를 위한 설정_사용자 프로필 관리——–

위 설정만 해도 괜찮긴 하지만… PC에 프로필을 한 번 만들고 나면 관리자에 대한 액세스를 추가하기 힘들기 때문에, 그룹 정책으로 백업/복구 등을 위한 관리자 허용 방법을 도서에서 확인할 수 있었다.

clip_image030

관리자도 해당 폴더에 액세스 불가능. 윈도우 10이라서 .V5 인가?

After you use a user account that has an existing Windows 7, Windows 8, or Windows 8.1 profile to log on to a Windows 10-based computer for the first time, a “v5” version of the profile is created. By default, this feature is enabled in Windows 10 clients and uses a .V5 profile folder extension unless the feature is specially disabled. On older operating systems, the default was “v2” unless the hotfixes that are described in the following articles are applied and the steps that are mentioned in the articles are followed.

출처: <https://support.microsoft.com/en-us/kb/3056198>

그렇다고 한다. V5랑 V2를 많이 보게 될 듯.

관리자도 해당 프로필에 권한이 없기 때문에 어떠한 접근 권한도 없다. 관리 효율성을 위해 ‘로밍 사용자 프로필에 관리자 보안 그룹 추가’를 해보자.

clip_image031

먼저 Computers OU에 CLIENT1, 2를 배치

clip_image032

Computers OU에 적용되는 Profile 그룹 정책 생성

clip_image033

컴퓨터 구성 > 정책 > 관리 템플릿 > 시스템 > 사용자 프로필 에서 ‘로밍 사용자 프로필에 관리자 보안 그룹 추가’ 사용

clip_image034

이 정책 설정을 사용하면 관리자 그룹에도 사용자 프로필 폴더에 대한 모든 권한이 부여됩니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자에게만 해당 사용자 프로필에 대한 모든 권한이 부여되고 관리자 그룹에는 이 폴더에 대한 파일 시스템 액세스 권한이 없습니다.
참고: 프로필을 생성한 후에 이 정책 설정을 사용할 경우 정책 설정이 적용되지 않습니다.

설명에 위와 같이 적혀 있음.

clip_image035

그룹 정책 적용

clip_image036

정책을 설정한 뒤, 한 번도 로그인하지 않은 새 사용자로 접속

clip_image037

기존하고 달리 FILE1\Administrators에 모든 권한이 자동으로 부여됨.

clip_image038

그룹 정책 적용 후 / 전 비교

clip_image039

FILE1에서 로컬 Administrator로 로그인하면 프로필 폴더 내의 파일을 볼 수 있음. 관리가 편해짐.

다음으로는 클라우드 폴더 구축을 배워보자.

이것도 살펴보세요!

WSL: Linux용 Windows 하위 시스템 배포 삭제하기

명령 프롬프트를 실행 현재 설치된 배포판 리스트를 확인 wsl -l 배포판을 삭제해갑시다 wsl --unregister 배포판이름 …

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다