Active Directory

도메인/작업그룹 둘 중 하나에는 무조건 가입이 되도록 되어 있음

작업그룹: Standalone방식(각 컴퓨터가 독립적, 영향을 주고받지 않음)

도메인: Master/slave관계(대장: DC. Domain control/ 부하: member)

MS에서 LDAP 표준과 달라진 것: DNS를 혼합시킴 => LDAP + DNS => Resource를 찾거나 관리 시 DNS가 이용됨(Domain이라는 개념으로 통합해버림, TCP/IP를 도입했다.)

Domain Contoroller

Member (계정, 그룹, 공유폴더, 연락처, 프린터, ou 등등)

Domain (ex. Kh00.kh)

 

---

 

1> dns 주소를 DC ip주소로 지정해주고

 

 

 

sysdm.cpl 에서 컴퓨터이름(member2), 소속그룹-도메인(jina.kh) 변경하고 재시작

 

 

---

2 > DC 에서 Active Directory 에서 그룹, 사용자 만들고, 그룹안에 그룹 소속시켜주고, 사용자들도 그룹안에 소속 지정해주기

 

 

 

3 > client에서 공유폴더 만들고 고급공유 탭에 가서 권한 수정

 

4 > DC에서 공유폴더 추가 가능 ( OU 에 추가 가능)

 

 

---

 OU

: 여러가지 개체를 동시에 보관하고, 그것들을 중첩시킬 수도 있고, 정책부여도 가능한 것. ("조직구성단위")

 

---

OU

이용해서 정책을 필요에 따라서 분산적용 !!!

통제받을 object 들이 들어가있음

 

로컬컴퓨터의 정책 : 해당 컴퓨터와 사용자에 무조건 적용

gpedit.msc

 

GroupPolicy : AD  에서 도메인을 통제 하는 규칙

단위 : 사용자, 컴퓨터 

이미 만들어진 규칙을 관리자가 사용

 

---

DC 에서

관리도구 > 그룹정책관리 (gpmc.msc 로 한 번에 부를 수도있음)

 

---

규칙을 적용할 단위 : 그룹정책개체. 

 

---

개별적인 OU 에 그룹정책을 적용하려면 별도의 그룹정책개체(Group Policy Object)를 생성 . 개발팀GPO

개발팀 OU 에 그룹정책게체를 연결하기.

개발팀 OU >> 기존 GPO 연결 > 개발팀 GPO 선택

 

---

GPO 의 구성

 

컴퓨터 , 사용자 구성

컴퓨터 : 정책 적용 시 재시작

사용자 : 사용자 로그오프후 재로그온 , 사용자전환 (X)

 

GPO는 하위 모두에게 상속됨.

---

GPO 편집 해보기

1]  도메인의 모든 사용자는 제어판 사용불가

default domain policy >> 편집 > 사용자구성 > 관리템플릿 > 제어판 > 제어판의 액세스 금지 > 사용

 

 

 

도메인을 이용 중인 사용자 (administrator 도 가능) 에서 확인해보자. (로그오프 후 재 로그인 필수)

(제어판=cpl 메뉴 다 사용 못함)

 

 

---

 

정책 적용 순서를 이용하여 

사용자 마다 다르게 정책을 적용할 수 있다. (ex. 제어판 사용금지)

 

로컬컴퓨터 (member01\administrator) -> 도메인 (jina.kh - default domain policy) -> OU (개발팀GPO) -> 하위OU

 

순서로 마지막에 적용한 규칙이 적용된다.

 

---

 

개발팀 사용자의 Internet Explorer 홈페이지를 지정하고 더이상 변경할 수 없게 할 수도 있다.

개발팀GPO > 정책> 관리템플릿> Windows구성> Internet Explorer > 홈페이지설정변경할수없음 > 사용

 

 

개발팀 OU의 사용자로 들어가있는 1004로 로그인 하면

인터넷창 홈페이지가 네이버로 고정되어있고 수정 불가능한 것을 볼 수 있다. (크롬에선 적용X)