3. 그룹관리
. 권한 할당의 효율성
. 그룹종류
보안그룹 : 권한 할당을 위한 그룹
배포 : 이메일과 같은 응용프로그램에서만 사용가능함
.도메인기능수준
windows 2000 혼합 :
지원되는 DC - NT, 4.0, 2000 , server 2003 >> 글로벌, 도메인 로컬 그룹 지원가능
windows 2000 기본 :
지원되는 DC - 2000 server 20003 >> 글로벌, 도메인 로컬, 유니버셜 그룹지원가능
windows server 2003 :
지원되는 DC - server 2003 >> 글로벌, 도메인로컬, 유니버셜 그룹 지원가능
<그룹간 전환가능표>
. 기능수준이 올라가게 되면 내리는 것은 불가능 (active directory 사용자 및 컴퓨터에서 도메인 우클릭)
. 글로벌 , 유니버셜, 도메인 로컬 그룹
. 로컬그룹 : 일반 그룹
. 도메인로컬그룹 : Active Directory 안에 구성된 로컬그룹
. 그룹생성 실습해보기
Users > user 개체 창 우클릭해서 새로만들기 > 그룹
생성 명령어
dsadd group "cn=DL Sales File Read,ou=영업부,ou=nwtraders,dc=msft" -samid "DL Sales File Read" -secgrp ues -scope l
삭제
dsrm "cn=DL Sales File Read,ou=영업부,dc=nwtraders,dc=msft"
. 그룹 구성원 관리
. 그룹전략
AGP, AGUDLP ADLP(NT에서, Local은 도메인로컬) AGLP AGDLP
. 그룹중첩은 3단계까지만 하자.
<그룹의 개념이 있을 때 >
* 2003에서 local 은 SAMB이고 NT에서 local은 도메인로컬이다.
XP에서 디렉토리 속성에서 보안 탭에 가면 권한설정이 가능하다.
NT 4.0은 한 도메인 안에 PDC 와 BDC로구성되어있다. 이는 부하 방지 목적으로 BDC는 DC이긴 하지만 PDC와 같은 권한은 없고 단순히 BDC를 PDC에 추가적으로 붙여서 확장성을 용이하게 하는 목적으로 사용되었다.
하지만 2000 으로 넘어오면서 부터 Active Directory 개념으로 바뀌게 되어 PDC BDC개념이 없어 지고 동일한 권한을 가진 DC의 관계가 되었다. 여기서 DC들은 모두 같은 정보를 가지고 있어야 하는데 DC 끼리의 정보의 불 일치로 인해 문제가 발 생하게 되면 2000은 충돌이 났었지만 , server 2003은 Link Valued Replication으로 가능하다.
4. 엑세스 제어
Permission : 무엇을 사용할 수 있냐. 하는 리소스에 대한 작업 가능 여부
Rights : 무엇을 할거냐, 시간변경 전원종료 사용자 생성
Permission이 더 크다.
윈도우의 보안
- Security Principal(보안주체) : 사용자, 컴퓨터 , 개체 ;; GUID, SID 부여
- Security IDentifile(SID) : 알파벳과 숫자로 이루어진 값, 보안주체를 유일하게 식별
- DACL( Discrestionary Access Control List) : 개별 리소스에 대해서 각각의 사용자/ 그룹의 접근 허용/거부 리스트 ; Permission에 대한
- ACE( Access Control Entry) : 개별 보안 entry (DACL 은 ACE가 여러개 모인것.
- SACL : 감사용
솔라리스 보안 되새김질...
: 파일 권한부여 ---->> ACL --->> RBACL
: Identification > Authentication > aythorization
공유폴더 권한상태
명시적 허용 : allow만 채크
명시적 거부 : deny만 채크
암시적 거부 : 둘다 채크 안함
상속을 통한거부: 비활성화 deny만 채크
상속을 통한허용: 비활성화 allow만 채크
NTFS
동일파티션 에서 파일이나 디렉토리 이동,복사시 : 권한 유지
다른파티션 으로 파일이나 디렉토리 이동,복사시 : 이동된 디렉토리 바로 위의 권한 상속
디렉토리의 고급 보안설정에서 "상속가능한 권한을 부모 개체에서 이 개체 및 모든 자식 개체에......" 이 부분을 채크 해제 하면
다음과같은 선택이 나온다.
복사 : 자기까지는 받고 자기 밑에는 안받는다
제거 : 자기도 안받는다.
NTFS에서 중첩 권한 계산
userA(rw) fileA
groupA(r)
-------------------- userA는 groupA의 멤버 userA의 사용권한은 rw
userA(r) fileA
groupA(rw)
-------------------- userA는 groupA의 멤버 userA의 사용권한은 rw
userA(rw) fileA
groupA( )
-------------------- userA는 groupA의 멤버 userA의 사용권한은 권한없음
userA() fileA
groupA(rw)
-------------------- userA는 groupA의 멤버 userA의 사용권한은 권한없음
userA(r) fileA
userB(rw)
groupA(rw)
groupB(rwx)
-------------------- userB는 groupA의 멤버 와 groupB의 멤버 userB의 사용권한은 rwx
userA(r) fileA
userB(rw)
groupA(rw)
groupB( )
-------------------- userB는 groupA의 멤버 와 groupB의 멤버 userB의 사용권한은 권한없음
====================================================================================
1. 권한 중첩시 거부 권한 우선
2. 권한은 합집합.
공유폴더
복사하면 공유해제
공유폴더에 $붙이면 숨김
IPC$ 공유폴더 리스트를 볼때
PRINT$ 프린터 공유
NETLOGON
SYSVOL 정책적용할때 로긴시
FAX$ 임시파일이나, 임시로 생성된 파일
공유폴더 관리는
2003 DC
Administrator그룹
Sever Operators그룹
2003을 실행하는 멤버 서버나 독립실행 서버
Administrators 그룹
Power Users 그룹
net share 명령어 참고
명령어는 윈도우에서 공유된 리스트 보여줌
net share c$ /delete
삭제
net share 야동=c;\디렉토리
추가
공유폴더를 설정후 Active Directory에 게시하게 되면 검색이 쉬워짐
공유폴더와 NTFS권한이 동시에 부여된 경우 = 교집합
공유폴더가 rw인데 NTFS가 r이면 r가 된다.
*** 유효사용권한탭 을 사용하면 이러한 권한 계정 계산을 쉽게할 수 있다.
오프라인 파일
공유폴더를 사용하다가 전원이 나가서 연결이 끊어졌을 경우 대비하여서 클라이언트 사용자가 미리 다 다운받아서 작업하는것이다. 별로 추천은 안한다.
5. Printer
printer : Machine과 Print device(프린터)사이의 인터페이스
프린터를 만들고 엑티브데릭토리랑 연결시키기
DC에서 프린터 추가 하면 바로 Active Directory에 게시가 된다.
net share 하면 나옴.
검색기능을 통해서 프린터를 검색할 수 있다. > 검색은 엑티브디렉토리에서 도메인찍고 검색하거나 . 프린터찾기 메뉴를 통해서 찾기 가능
프린터 보안
everyone을 인증받은사용자로 바꾸기
사용자의 권한 조절하기,
스풀러의 공간을 변경하자. >> 인쇄서버등록정보에서 바꿀 수 있다. 로그도 저장 여부 체크할 수 있다.
프린터관리, 문서관리, 인쇄 순으로 관리순위
프린터 우선순위 부여하기
높은게 우선적이다 안하는게 좋다
프린터 속성에서 고급에 우선순위 조절가능
시간제한가능
프린팅 풀 설정
여러대의 프린터를 클러스트링화해서 Idle한 프린터에게 서출력되도록 한다. 같은 공간에 픤터를 놔둬야 한다.
프린터 속성> 포트 > 밑에 프린터 풀링 채크 > 클러스트링할 프린터목록을 체크
'OS > windows server 2003' 카테고리의 다른 글
| Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가 (0) | 2011.08.08 |
|---|---|
| 0604 보안템플릿 감사 및 보안로그 (0) | 2011.06.03 |
| 0602 조직구조내 개체에 대학 엑세스 관리 (0) | 2011.06.02 |
| 0531 1,2,3 장 사용자계정관련 (0) | 2011.06.02 |
