0602 조직구조내 개체에 대학 엑세스 관리

6장. 조직구조내 개체에 대한 억세스 관리

1. 엑티브 디렉터리 개체의 권한수정
 

2. 조직구조의 제어 위임

OU의 특징

1. 조직화

2. 위임(관리)

3. 정책(GPO :  Group Policy Object )

Group 

Permission 부여 ( 보다 쉽고 확장 고려 해서 만들어 진 것이 그룹이다)

종류

로컬 , 도메인 로컬, 글로벌, 유니버셜 그룹

* AD환경에서 입력가능한 모든값(= 속성 = 주소, 이름,부서...  ===>>> "스키마")

AD에서 유효사용권한이나, 상속의 개념은 NTFS랑 다르다.

 AD에서 개체 권한

권한 종류

: 모든권한, 쓰기, 읽기, 모든자식 개체 만들기, 모든 자식 개체 삭제    =====> ACE

권한별 설명

: 읽기 : 기본이다. AD의 장점 검색이 가능해야 하기 때문에

모든권한

NTFS의 소유권가져오기 : take ownership - 다른사람의 권한 통째로 가져오기 (양도불가)

원진이가 중요문서를 자기만을 소유권자로 해놓고 잠수탔을때, 관리자가 고급보안설정에서 소유자탭

사용자등록정보에서 왼쪽에 Dram사업부에 정민이 넣고 dram밑에 개발팀에 창훈이와 득원이가 있다. 여기서 창훈이 등록정보에 조직에 가서 관리자에 정민이 넣고 득원이 등록정보 조직에 관리자에 창훈이 넣으면 창훈이 등록정보 부하직원에 득원이가 나온다. 

이제 정민이가 관리자의 모든권한이 아닌 Dram사업부내에서 모든 권한을 가지도록 해보자   ====>> ACE를 고쳐야한다. 엑티브 디렉토리 내의 스키마를 변경가능하도록해준다.

AD사용자관리자에서 Dram사업부 우클릭해서 제어 위임 해서 원하는 권한만 선택가능

AD사용자관리에서 보기의 보안을 클릭하면, 히든되있는게 많이 나온다

* 권한 계산

NTFS랑 똑같다

NTFS에서는 압축 쿼터 EFS 

쿼터는 디스크드라이브 우클릭해서 할당량 조절하는거, 관리자로 들어가서 전체 할당량 조절할 수 있고 할당량 항목에 들어가서 개별 사용자별 할당량을 조절할 수 도 있다. 

압축과 EFS는 동시 적용 불가능하다

압축은 논리적으로 압축

EFS로 압축된건 압축한 사용자밖에 못본다. 백업은 도구의 인터넷 옵션에서> 내용 >인증서 > 인증서 내보내기 

7. GPO
 

그룹정책의구현 (Active Directory 구조상에서)

대상 :  GPO > S(Site)  > D(Domain)  > O(OU)         ===>>>>> 정책은 위에서 아래로 내려오고, 하부정책은 위에 정책과 충돌되면 오버라이드 되어 하부가 우선시되고 Link를 통해서 적용이된다.
 

Site : 도메인간 떨어져있는 물리적구조

GPO의 영향은 두가지에 영향을 준다

유저 와 머신          : 사용자들은 12시 부터 사용하지마라 하면 컴퓨터는 사용할 수 있다. 
 

물리적으로 Site에 걸어줄 수 있고 논리적으로 Domain과 OU에 걸어줄 수 있다. 

정책설정은 그룹정책 개체 편집기를 통해서 가능하다. ===== gpedit.msc   >>>>>> 엑티브디렉토리에서 하는것임

사용자구성, 컴퓨터 구성으로 나뉜다.   사용자 정책은 로그인할 때 컴퓨터정책은 부팅할때 적용된다. 

로컬에서는 로컬 관리자로 접속후 로컬 보안설정에서 여러가지 설정가능

AD에서 멤버 컴퓨터들에게 적용할때 이렇게 적용한다 
 

멤버에서 도메인 관리자로 들어가서 mmc로 스냅인추가제거에서 추가 들어가서 정책편집기> 찾아보기> default domain policy 들어가서 제어판이나 여러가지 버튼 감추기 할 수도 있다. 

사용툴은 GPMC 라는 툴을 사용한다. 기본으로 그룹정책편집기가 있지만 잘 사용안한다.   ===>
mS 홈피에서 GPMC검색


 

nwtraders.msft 우클릭하면 등록정보에 그룹정책에 보면 적용되는 정책을 알 수 있다. 

1. 기존에 default domain policy가 있으니까 그게 전체 적용되니까,  새로운 정책을 원하는 부서에만 적용되도록 새로 만들어 보자

2. mem01에서 dc관리자 계정으로 가서 nwtraders.msft 영업부에가서 그룹정책에 새로만들기는 새로 정책생성과 링크도 해주고, 추가는 기존 정책에 링크만해준다

3. 새로만들기 해서 이름적고 만들어서 더블클릭 그룹정책이 열린다. 

4. 세부정책을 적용하면된다.여기서 정책 별로 정책이 적용되는 범위도 정하고 예외도 적용하고 해야한다. 
        5. 그러면 영업부에 속해있는 유저들은 방금 생성한 정책에 적용을 받게된다.  

* GPO 는 세부적으로 SYSVOL안에 GPT 와 GPC 이루어져있다.
(GPT 에 셋팅내용들어있고, GPC는 버전으로 이루어져있다. )

사용자는 로그인시에 SYSVOL안에 GPT정보를 가져와서 레지스트리에 적용하고 로그아웃할때 지워지고 , 이런식이다.

GPT 는 c:\windows\SYSVOL\sysvol\nwtraders.msft 이하 내용들 .... 레지스트리값으로 ini파일들

GPC  는 active directory 사용자 및 컴퓨터에서 nwtrader.msft >  system > Policies 밑에 있는 것들

GPMC에서는 해당 적용하고 싶은 팀 에 가서 우클릭해서  첫번째꺼하면 새로운 정책 생성후 링크도 됨

GPMC에서 Link order순서는 아래서부터 적용되는 순서로 읽어야된다. 밑에서 위로... 그래서 옵션없을시 1번 정책이 최후 적용되는 정책이다. 

* GPO 가 충돌할때 상속에 대한 수정옵션  

무시안함 = no overide = Enforced 하면 A B C 이렇게 상위에서 내려오면 C에서 앞에 옵션들 걸어주면 B옵션이 적용된다. 

--------------------------------------------------------------------------

8장 폴더 리디렉션 구성

1. 공유폴더생성(보안을 위해 숨김공유설정권장 $)

1) 권한은 everyone제거, authenticated users에 Full Control을 부여

2) GPMC를 이용해서 정책 GPO정책 생성 및 편집 적용

3) 사용자 설정 -windows - 폴더 리디렉션 - 내문서- 속성 ((고급/ 기본))

기본 --- 대상폴더(루트경로 이해 경로로 지정)

4) 컨테이너에서 레벨에 따라 (site - domain - ou) 적절하게 링크하여 사용

링크 참조 http://blog.naver.com/hjsjss?Redirect=Log&logNo=70033081897