0531 1,2,3 장 사용자계정관련

access token을 부여받는다.

엑티브 디렉토리 구조에서 , 하나의 도메인 안에서 인증받게 되면

다른 도메일을 가서도 인증을 안받아도 된다.

* 로그인 : 시스템에 들어가기위해 ID pass를 인증받는것(그냥 로그인프로세스만돌아간다,인증만)

로그온 : 로그인을 포함한 여타의 다른 서비스를 (로그인프로세스 + 권한할당, 정책, 영역...)

* 숙제 : 윈도우상의 기본적인 프로세스들 조사 역할 공부 정리

윈도우는 winlogin.exe 로그온 프로세서이다. 

윈도우 로그온은 

로컬로그온 처리   >xp에서 로그온 대상이 "이 컴퓨터"

도메인 로그온 처리   > xp에서 로그온 대상이 "DC"

세컨더리 로그온 처리 > Run AS   = su와 같은 방법 ; Shift + 우클릭해서 다음계정으로실행

= 

스마트 카드 로그온 처리    > 

네트워크 로그온 처리 >

DC가 있는 운영체제(2003)에서 로그온 대상이 "이 컴퓨터가" 없는 이유?

보안적인 이유  >> 기본적인 보안정책에 의해 막고 있다. 

2003에서 관리도구 >  엑티브디렉토레 사용자 및 컴퓨터 > wtraders.msft    > 개체프레임에서 우클릭

> 새로만들기 ( 사용자)  > 새개체 성과 이름 사용자 로그온 이름 적고 > 암호입력 >마침

xp에서 추가된 계정확인해보기, 사용자계정에서 확인 >  administrator에서 기존에 암호없이 잘썼는데 도메인에 합류하는 순간 정책이 적용되어 암호가 없으면 안되기때문에 새 암호생성해준다

> 그리고 새로 로그온한다(administrator)    >   확인후 로그오프   > wjlee로 로그온한다

=======>>>이게 로컬로그온과 도메인 로그온이다.

원격에서 DC를 관리하기위해 콘솔관리하기위해.

xp에서 DC의 관리자로 로그인해서 xp에서 관리도구가 안보이므로 작업표시줄 우클릭해서 사용자지정에 관리도구표시

> xp 관리자로 로그인해서 >2003서버설치시디넣고 > i386디렉토리의 ADMINPAK설치(서비스팩 1 핫픽스 329474가 깔려있어야한다)

> 사용자 추가해서 > DC에 추가되었는지 확인하고 > Xp에서 추가한 계정으로 접속 >  접속할때 dwlee@nwtraders.msft   로 하면 밑에 귀찮게 안해도 된다. 

> 이제 run as를 해보기위해  "Active Directory 사용자 및 컴퓨터에 shift 우클릭하고 

> administrator@nwtraders.msft 로 로긴하면 su와 같은 효과가 난다.

윈도우에서 암호는 

최대 20자 까지 가능

커퍼로스 사용하면 255자까지 

단점중하나는 레거시 시스템( 암호의 복잡도가 높으면 이전 버전과 호환성이 안좋을수있다)

윈도우에서 대소문자 구분은 레지스트리와 암호입력 뿐임

moc 2003에서 알려주는 2003 기본 암호는   admonistrator  /  P@ssw0rd

moc 2008에서 알려주는 2003 기본 암호는   admonistrator  /  Pa$$w0rd

MMC

스냅인을 이용한 통합 관리도구

나만의 MMC만들기

xp에서 DC에 관리자로 로그온

시작의 실행 > mmc > 스냅인추가 > 추가할거 추가하고 확인 

ex>디스크 관리를 로컬과, 다른 멤버의 디스크 관리를 추가하면 하나의 콘솔에서 여러대의 관리가능

도움말 및 지원센터> 위쪽의 옵션> 왼쪽의 윈도우 도움말 설치 및 공유 >디스크에서 도움말설치> 찾아보기 > 2003서버 시디 찾아 설치

OU 조직구조 ?

도메인내에서 개체를 조직화 하기위해서 사용한다

이는 그룹과는 다르다.

OU는 정책을 내리는 단위, 그룹은 권한을 내리는 단위... 헷갈리지말자

NT 4.0 은 5000개까지 개체지원

Active Directory 는 거의 무한대의 개체 지원

OU는 보안의 용도가 아니라 권한 부여가 안된다.   --> 도메인 개체를 조직화한다. 그룹핑한다. 

==> 관리의 위임을 위한 최소단위가 된다. & 정책을 적용 대상 단위

조직 구조의 계층적 모델

기능기반 =  마케팅 영업부 ...   > Sales consultants Marketing

조직기반 = 국내영업, 해외영업  > Manufacturing Engineering  Research

위치기반 = 

하이브리드기반 = 섞어쓰기

가장많이 쓰이는 것은 하이브리드 기반의 위치기반 + 기능 기반

조직마다 다르게 쓰인다

X.500(DAP)   ===>무겁다  ------->> LDAP(경량화한것)

검색과 저장을 위한 조직구조관리를 위한 개념

RDN =   상대경로처럼,  home                           

DN =   절대경로처럼, 계층적으로 /etc/home

실습 : 조직구조 만드는 방법

* 컨테이너 하위에 OU추가 불가

OU 하위에 OU추가 가능

XP에서 DC관리자로 접속후 active Directory 사용자 및 컴퓨터 에서 

nwtraders.msft에서 우클릭 

새로 만들기 조직구성단위 만들면  

>>>>>  OU 가 만들어짐. 

계속 만들어서 구조를 만들어서 관리가능,    ====  >> 특정 OU만 가능/불가능

* 명령어로 OU 추가하기

dsadd ou ou=bitec, dc=nwtraders, dc=msft

조직 구조를 만들어서 유저를 조직에 드래그가능

하지만 같은 도메인nwtraders.msft으로 구성된 OU들 안에서는 유저의 이동이되고 다르면 안된다

* 리소스킷이 있으면 이동이 가능

2장.  사용자 계정 

등록정보는  꼼꼼하게 등록정보채운다.

사용자계정 :  신분증명, 윈도우내의 서비스 제한(사용자서비스), 특정자원접근제어

로컬 접속과 도메인 접속시 데이터 베이스가 SAM으로 옆에 있으냐, 레퍼런스로 가지고있나차이

이슈 : 동일 이름, 임시직

패스워드기간 제한  : 42일

암호 reset : 사용자가 접속시 새로운암호입력가능

사용자계정 종류 : 4개, 관리, 손님, 원격제어 , 도움말

사용자계정 고려사항:

* 명령어로 유저 추가

dsadd user "cn=shjeon,ou=미국,ou=해외영업부,ou=영업부,dc=nswtraders,dc=msft" 

                                      -samid shejeon -pwd P@ssw0rd

컴퓨터계정 : 유창훈이란 계정을 가진 사람은 특정 컴퓨터에서만 접속가능 & 특정컴퓨터는 

백신을 깔아야지만 인터넷접속가능

ID와 PASSWORD가지고있다. 

이유 : 인증, IPSec,감사, 관리 , SMS(System management server -->SCMM으로바뀜)

컴퓨터계정은 컨테이너 내에 위치

* 실무에서 전원이 켜진상태로 스냅샷을 찍으면 시간 동기화문제로 DC가 멤버를 거부할 수도 있다 

그럴땐 멤버가 도메인에서 workgroup로 갔다가 다시 도메인에 합류하면 재 연결해서 잘된다

* 명령어로 컴퓨터계정 추가 

dsadd computer cn=bu-mem-004,dc=nwtraders,dc=msft -samid bu-mem-004

컴퓨터를 생성후 사용자 계정이 들어가있는 물류팀.... 같은 곳에 넣어두면 해당 

                        컴퓨터도 같은 영향을 받게된다. 나중에 정책설정시

3. 사용자계정 템플릿 생성

똑같은 권한, 역할, 번호같은 부분을 템플릿화해서 이용할 수 있다. 

사용자 계정 클릭해서 우클릭하면 복사. 누르면 일부는 복사되고 나머지는 입력할수있게 복사된다.

실무에서는 일단 틀(기본정보만입력) 만 만들어놓고"사용안함 (disable) 해 놓고 복사를 눌러서 새로만들면서 사용한다.

계정 템플릿 만들때 가이드 라인

각 부서별로, 짦은기간, 완료기간, 

잠김(lock)과 사용안함(disable)의 차이;

잠김은 관리자가아닌 특정 임계값을 넘었을때 자동으로 

사용안함은 관리자가 지정

보안정책적용해서 락 해보기

dc에서 기본도메인 보안설정 --> 보안설정 --> 계정정책 -->암호정책

최근암호기억 : 42일 주기로 바꿔야만하는데, 같은걸 돌면안된다.

dc에서 기본도메인 보안설정 --> 보안설정 --> 계정정책 -->계정잠금정책

여기에서 로그온 횟수및 잠금 시간 결정가능, 

혹 잠겨있는 사용자( 사용자계정에 가면 각 사용자 정보나오는데, 여기서 잠겨있으면

관리자가 해제할 수 있다)

암호리셋 == > 주의!

암호리셋은 암호 초기화 . 사용자가 암호 잊어버렸을때,

* 다음의 정보는 다 날라간다

사용자의 공개키로 암호화된 이메일 

컴퓨터에 저장된 암호정보

암호화된 파일

컴퓨터 계정을 리셋해야 하는 경우

컴퓨터가 도메인 인증에 실패한 경우  -->> 리셋 -->> 안되면 도메인탈퇴후 재가입

암호가 동기화 되어야 할 필요가 있을경우.

* 컴퓨터 시스템의 동기화를 안하고 싶다면 = Microsoft 사이트에서 disablepass changed검색

[[[[[[[[검색!!!]]]]]]]]]]]]]]

Active Directory 의 꽃중의 꽃