BLOG ARTICLE OS/windows server 2003 | 5 ARTICLE FOUND

  1. 2011.08.08 Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가
  2. 2011.06.03 0604 보안템플릿 감사 및 보안로그
  3. 2011.06.02 0602 조직구조내 개체에 대학 엑세스 관리
  4. 2011.06.02 0531 1,2,3 장 사용자계정관련
  5. 2011.06.01 0601 그룹관리, 엑세스 제어, printer

Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가

OS/windows server 2003 2011. 8. 8. 14:12
윈도우는 기본적으로 시스템에 접속로그가 남지 않는다.!!!

ndows에서는 내부적으로 엄청나게 많은 일들이 일어나게 되는데, 이를 사용자가 파악하기란 불가능합니다. 물론 Windows라는 운영체제에만 국한되는 것은 아닙니다. 그렇기 때문에 컴퓨터에서 일어나는 ‘중요한 이벤트’들은 자동적으로 기록되도록 하는 것이지요. 그러나 기록되는 로그 역시 역시도 일부에 지나지 않습니다.

Windows의 로그 파일들대부분의 사용자들은 Windows가 정상적으로 작동하지 못하는 경우, 단순히 출력되는 오류 메시지만을 가지고 해결하려고 하는데요. 이미 알려진 오류로써 이슈가 된 경우라면 비교적 쉽게 해결이 가능합니다만, 그렇지 않다면 마이크로소프트의 문서들을 참조해서 해결을 해야 합니다. 

이벤트 오류는 보고되는 메시지 자체로도 쉽게 해결이 가능한 경우도 있습니다만, 실제적으로 Windows에 대한 많은 지식이 있지 않다면, 메시지가 무엇을 의미하는지 파악하기가 힘든 경우도 있습니다. 그러나 파워유저라면 기본적인 로그들이 무엇인지는 알고 있어야 할 것입니다.


자주 접할 수 있는 기본 로그들

전역 로그 - 응용 프로그램, 시스템, 설치, 보안과 함께 전달된 이벤트 로그(orwardedEvents)를 포함하는 것으로써 이벤트 뷰어의 보기(View)에서 관리 이벤트 상에 나타나는 로그를 칭합니다. 전체 로그를 카테고리 분류 없이 일목요연하게 발생시간 별로 나열해 주게 됩니다.

응용 프로그램 로그 - Windows 번들 소프트웨어를 비롯해서 사용자의 어플리케이션의 이벤트를 저장합니다. 사용자가 구입한 어플리케이션들의 경우 설치는 물론 작동 시에도 로그가 기록 되도록 개발된 것이 좋은 어플리케이션이라고 할 수 있습니다. 

보안 로그 - 이 로그는 보안 관련된 이벤트 로그만을 기록합니다. 보안 관련된 프로그램의 동작을 모니터링하면서 그 외에도 Windows 로그온, 네트워크 등 다양한 보안 로드들이 기록됩니다.

설치 로그 - 어플리케이션 설치 시 발생하는 이벤트를 기록합니다. 프로그램이 잘 설치되었는지 그리고 호환성문제가 일어나지 않는지 이 기록을 보면 알 수 있습니다.

전달된 이벤트(ForwardedEvents) 로그 - 로컬 컴퓨터의 이벤트뿐만이 아닌 원격 컴퓨터에서 전달된 이벤트도 수집이 가능합니다. 이를 이용하면, 로그만을 기록하는 전용 컴퓨터, 로그 서버도 가능합니다. 사고 시에를 대비해서 로그는 별도의 컴퓨터로 구성하는 것이 좋습니다.


이벤트 로그가 기록되는 경로와 로그 확장자

로컬 컴퓨터의 경우 로그 파일이 저장되는 경로는 아래와 같습니다.
%systemroot%system32\winevt\Logs이고 확장자는 evtx를 사용하며, dir 명령어 파일 목록을 확인하면 아래와 같은 파일들을 보여주게 됩니다.

appliacation.evtx = 응용 프로그램 로그파일
system.evtx = 시스템 로그파일
setup.evtx = 설치 로그파일
security.evtx = 보안 로그파일


로그 파일 유틸리티 wevtutil (Windows Event Viewer Utility)

wevtutil는 Windows가 제공하는 명령줄 도구입니다. 이를 이용하면 로그 파일을 관리할 수 있습니다. 아래는 어플리케이션 로그를 삭제하려는 ‘명령 샘플’입니다.
(wevtutil에 대한 좀 더 자세한 사항은 usages 차원에서 자세히 다루겠습니다.)

wevtutil cl application
;위에 명령은 응용 프로그램 로그파일의 내용을 비우므로 로그 삭제와 동일합니다. 배치파일을 이용해서 동시에 여러 개의 로그파일도 삭제할 수 있습니다. 예를들면 ‘clear_all_log.bat’을 아랴와 같이 작성합니다.

type clear_all_log.bat
wevtutil cl application
wevtutil cl setup
wevtutil cl security
wevtutil cl system

간단하게 이벤트 로그에 대해서 살펴보았지만 시스템 관리자나 서버 관리자 수준에 도달하려면 vbs와 같은 스크립트를 언어를 통해서 이러한 시스템 관리 전용 스크립트를 직접 개발하거나 잘 다룰 줄 알아야 할 것입니다.
저작자표시 비영리

'OS > windows server 2003' 카테고리의 다른 글

0604 보안템플릿 감사 및 보안로그  (0) 2011.06.03
0602 조직구조내 개체에 대학 엑세스 관리  (0) 2011.06.02
0531 1,2,3 장 사용자계정관련  (0) 2011.06.02
0601 그룹관리, 엑세스 제어, printer  (0) 2011.06.01
AND

0604 보안템플릿 감사 및 보안로그

OS/windows server 2003 2011. 6. 3. 20:16
9장 보안템플릿적용. 보안정책 테스팅, 감사설정, 보안로그 관리
사용자권한설정
mmc > 스냅인추가제거 > 그룹정책편집기 추가 > 컴퓨터 구성 > 윈도우설정 > 로컬정책 > 사용자관리권한
보안템플릿( c: windows/security/templates / .....  )
기존에 전체적으로 적용되는 보안정책을 일일이 수정하려면 힘드니까 미리 정의된 틀 같은것을 사용하는 것.
되돌리기가안되니까 덮어쓰기 쓰기 전에 백업해야 한다. 
보안정책을 수정했을때, 기존의 보안정책과 다른 점을 비교 분석해야 하므로 분석도구를 사용해서 비교한다. 

감사설정
현재 시스템을 모니터링, 이벤트가 발생했고 결과가(로그) 어떻게 되었고 어떻게 관리하겠다. 
기준을 적용해서 해킹 전과 해킹 후의 변화점을 파악가능. 
감사정책은 로그 기록으로 한다.   >>> 이벤트 유형에 따른 로그기록
전부다 기록하지말고 , 유형에 상황에 따라 성공, 실패 둘다 같은 어떤것을 로그에 기록할지 결정해야 한다. 모두다 기록하면, 성능과 용량에 안좋다. 

폴더 우클릭에 보안에 고급보안에 가면 감사 탭에 설정가능
확인 은 관리도구의 이벤트 뷰어에 남아있다. 보기에서 필터 , 검색이 있다.            

이게 좀 불편하므로 이벤트 뷰어에 저장하고 싶은 메뉴(ex > 보안)에 우클릭후 저장
저장을 *. csv파일로 한다. (실제로 Windows/system32/Config/ 아래 있다. )    
실제로 이렇게 로그 분석하는건 보여주는 식이고 잘 하지 않지만,,,, 그래도 팁이다

MS의 로그파서라는 프로그램을 다운받아 sql형식으로 관리가능하다. 

10 파일시스템
새로운 하드 추가해서 문자 이름으로 하지말고 C 밑에 포인팅 개념으로 붙여넣을 수 있다. 

MBR

GPT : 아이태니엄 64비트 CPU 에 제공되는 윈도우에만 적용된 디스크 파티셔닝
윈도우 2003서버에서도 가능(서비스팩 1이상설치시에)
인텔의 서버용 CPU인 아이태니엄에만 제공되었으나 지금은 x86버전에서도 지원됨
주파시셔닝 128개까지 가능

기본디스크 : 그냥 디스크 .    동적 디스크로 변환가능
동적디스크 : 레이드 구성을 위한 디스크 .  기본 디스크로 변환하면 손실위험있다. 하지마라
동적디스크의 단순볼륨(심플볼륨이) 되어야 한다.

레이드 : 성능적 향상과 데이터 보존의 안정성(내결함성)

* 컨케이트네이트에서 growfs를 하면 확장가능
단순불롬 : 기본적인 파일 볼륨
확장불륨 : 윈도우에서는 스팬볼륨(확장볼륨2000 이상) 이라고 컨케이트네이트를 부른다.  
NT4.0에서는 Volume set   ,    
리눅스에서는 LVM(레이드라고 여기지 않음)
* LVM : 100+ 100 = 150+50

윈도우에서 디스크관리자
> 추가된 하드디스크가 보일것임
> 디스크 2 라고 표시된 부분 우클릭 디스크 초기화> 여기서 그냥 디스크 포멧해서 써도 되고 디스크 문자 할당하지 않고 c:\ 하위에 폴더형식으로 합류시킬수있다.( 비어있는 NTFS 폴더에 탑재)
> 다시 디스크 2라고 표시된 부분에서 동적디스크로 할당 선택
> 옆에  그래프 부분에 가서 우클릭 새 볼륨할당
> 볼륨마법사에서
단순, 스팬, 스트라이프, 미러 선택가능
단순은 그냥 일반 디스크
스팬은 단순 확장(컨케이트네이트)
스트라이브는 두개의 드라이브를 번갈아가며 저장
미러는 단순 복제 ( 2중 복제임)
> 다음으로 넘어가면 각 선택에 따른 디스크를 선택할 수 있는데, 마찬가지로 동적할당이 되어 있는 디스크여야만 함
 


 
저작자표시 비영리

'OS > windows server 2003' 카테고리의 다른 글

Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가  (0) 2011.08.08
0602 조직구조내 개체에 대학 엑세스 관리  (0) 2011.06.02
0531 1,2,3 장 사용자계정관련  (0) 2011.06.02
0601 그룹관리, 엑세스 제어, printer  (0) 2011.06.01
AND

0602 조직구조내 개체에 대학 엑세스 관리

OS/windows server 2003 2011. 6. 2. 19:59
6장. 조직구조내 개체에 대한 억세스 관리
1. 엑티브 디렉터리 개체의 권한수정
 
2. 조직구조의 제어 위임

OU의 특징
1. 조직화
2. 위임(관리)
3. 정책(GPO :  Group Policy Object )

Group 
Permission 부여 ( 보다 쉽고 확장 고려 해서 만들어 진 것이 그룹이다)

종류
로컬 , 도메인 로컬, 글로벌, 유니버셜 그룹
* AD환경에서 입력가능한 모든값(= 속성 = 주소, 이름,부서...  ===>>> "스키마")

AD에서 유효사용권한이나, 상속의 개념은 NTFS랑 다르다.


 AD에서 개체 권한
권한 종류
: 모든권한, 쓰기, 읽기, 모든자식 개체 만들기, 모든 자식 개체 삭제    =====> ACE
권한별 설명
: 읽기 : 기본이다. AD의 장점 검색이 가능해야 하기 때문에
모든권한
NTFS의 소유권가져오기 : take ownership - 다른사람의 권한 통째로 가져오기 (양도불가)
원진이가 중요문서를 자기만을 소유권자로 해놓고 잠수탔을때, 관리자가 고급보안설정에서 소유자탭

사용자등록정보에서 왼쪽에 Dram사업부에 정민이 넣고 dram밑에 개발팀에 창훈이와 득원이가 있다. 여기서 창훈이 등록정보에 조직에 가서 관리자에 정민이 넣고 득원이 등록정보 조직에 관리자에 창훈이 넣으면 창훈이 등록정보 부하직원에 득원이가 나온다. 

이제 정민이가 관리자의 모든권한이 아닌 Dram사업부내에서 모든 권한을 가지도록 해보자   ====>> ACE를 고쳐야한다. 엑티브 디렉토리 내의 스키마를 변경가능하도록해준다.
AD사용자관리자에서 Dram사업부 우클릭해서 제어 위임 해서 원하는 권한만 선택가능


AD사용자관리에서 보기의 보안을 클릭하면, 히든되있는게 많이 나온다


* 권한 계산
NTFS랑 똑같다


NTFS에서는 압축 쿼터 EFS 
쿼터는 디스크드라이브 우클릭해서 할당량 조절하는거, 관리자로 들어가서 전체 할당량 조절할 수 있고 할당량 항목에 들어가서 개별 사용자별 할당량을 조절할 수 도 있다. 
압축과 EFS는 동시 적용 불가능하다
압축은 논리적으로 압축

EFS로 압축된건 압축한 사용자밖에 못본다. 백업은 도구의 인터넷 옵션에서> 내용 >인증서 > 인증서 내보내기 



7. GPO
 
그룹정책의구현 (Active Directory 구조상에서)
대상 :  GPO > S(Site)  > D(Domain)  > O(OU)         ===>>>>> 정책은 위에서 아래로 내려오고, 하부정책은 위에 정책과 충돌되면 오버라이드 되어 하부가 우선시되고 Link를 통해서 적용이된다.
 
Site : 도메인간 떨어져있는 물리적구조

GPO의 영향은 두가지에 영향을 준다
유저 와 머신          : 사용자들은 12시 부터 사용하지마라 하면 컴퓨터는 사용할 수 있다. 
 
물리적으로 Site에 걸어줄 수 있고 논리적으로 Domain과 OU에 걸어줄 수 있다. 
정책설정은 그룹정책 개체 편집기를 통해서 가능하다. ===== gpedit.msc   >>>>>> 엑티브디렉토리에서 하는것임
사용자구성, 컴퓨터 구성으로 나뉜다.   사용자 정책은 로그인할 때 컴퓨터정책은 부팅할때 적용된다. 

로컬에서는 로컬 관리자로 접속후 로컬 보안설정에서 여러가지 설정가능

AD에서 멤버 컴퓨터들에게 적용할때 이렇게 적용한다 
 
멤버에서 도메인 관리자로 들어가서 mmc로 스냅인추가제거에서 추가 들어가서 정책편집기> 찾아보기> default domain policy 들어가서 제어판이나 여러가지 버튼 감추기 할 수도 있다. 

사용툴은 GPMC 라는 툴을 사용한다. 기본으로 그룹정책편집기가 있지만 잘 사용안한다.   ===>
mS 홈피에서 GPMC검색


 

nwtraders.msft 우클릭하면 등록정보에 그룹정책에 보면 적용되는 정책을 알 수 있다. 
1. 기존에 default domain policy가 있으니까 그게 전체 적용되니까,  새로운 정책을 원하는 부서에만 적용되도록 새로 만들어 보자
2. mem01에서 dc관리자 계정으로 가서 nwtraders.msft 영업부에가서 그룹정책에 새로만들기는 새로 정책생성과 링크도 해주고, 추가는 기존 정책에 링크만해준다
3. 새로만들기 해서 이름적고 만들어서 더블클릭 그룹정책이 열린다. 
4. 세부정책을 적용하면된다.여기서 정책 별로 정책이 적용되는 범위도 정하고 예외도 적용하고 해야한다. 
        5. 그러면 영업부에 속해있는 유저들은 방금 생성한 정책에 적용을 받게된다.  



* GPO 는 세부적으로 SYSVOL안에 GPT 와 GPC 이루어져있다.
(GPT 에 셋팅내용들어있고, GPC는 버전으로 이루어져있다. )
사용자는 로그인시에 SYSVOL안에 GPT정보를 가져와서 레지스트리에 적용하고 로그아웃할때 지워지고 , 이런식이다.
GPT 는 c:\windows\SYSVOL\sysvol\nwtraders.msft 이하 내용들 .... 레지스트리값으로 ini파일들
GPC  는 active directory 사용자 및 컴퓨터에서 nwtrader.msft >  system > Policies 밑에 있는 것들


GPMC에서는 해당 적용하고 싶은 팀 에 가서 우클릭해서  첫번째꺼하면 새로운 정책 생성후 링크도 됨
GPMC에서 Link order순서는 아래서부터 적용되는 순서로 읽어야된다. 밑에서 위로... 그래서 옵션없을시 1번 정책이 최후 적용되는 정책이다. 


* GPO 가 충돌할때 상속에 대한 수정옵션  
무시안함 = no overide = Enforced 하면 A B C 이렇게 상위에서 내려오면 C에서 앞에 옵션들 걸어주면 B옵션이 적용된다. 
--------------------------------------------------------------------------

8장 폴더 리디렉션 구성

1. 공유폴더생성(보안을 위해 숨김공유설정권장 $)
1) 권한은 everyone제거, authenticated users에 Full Control을 부여
2) GPMC를 이용해서 정책 GPO정책 생성 및 편집 적용
3) 사용자 설정 -windows - 폴더 리디렉션 - 내문서- 속성 ((고급/ 기본))
기본 --- 대상폴더(루트경로 이해 경로로 지정)
4) 컨테이너에서 레벨에 따라 (site - domain - ou) 적절하게 링크하여 사용

링크 참조 http://blog.naver.com/hjsjss?Redirect=Log&logNo=70033081897




저작자표시 비영리

'OS > windows server 2003' 카테고리의 다른 글

Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가  (0) 2011.08.08
0604 보안템플릿 감사 및 보안로그  (0) 2011.06.03
0531 1,2,3 장 사용자계정관련  (0) 2011.06.02
0601 그룹관리, 엑세스 제어, printer  (0) 2011.06.01
AND

0531 1,2,3 장 사용자계정관련

OS/windows server 2003 2011. 6. 2. 19:50
access token을 부여받는다.
엑티브 디렉토리 구조에서 , 하나의 도메인 안에서 인증받게 되면
다른 도메일을 가서도 인증을 안받아도 된다.

* 로그인 : 시스템에 들어가기위해 ID pass를 인증받는것(그냥 로그인프로세스만돌아간다,인증만)
로그온 : 로그인을 포함한 여타의 다른 서비스를 (로그인프로세스 + 권한할당, 정책, 영역...)

* 숙제 : 윈도우상의 기본적인 프로세스들 조사 역할 공부 정리

윈도우는 winlogin.exe 로그온 프로세서이다. 
윈도우 로그온은 
로컬로그온 처리   >xp에서 로그온 대상이 "이 컴퓨터"
도메인 로그온 처리   > xp에서 로그온 대상이 "DC"
세컨더리 로그온 처리 > Run AS   = su와 같은 방법 ; Shift + 우클릭해서 다음계정으로실행
스마트 카드 로그온 처리    > 
네트워크 로그온 처리 >

DC가 있는 운영체제(2003)에서 로그온 대상이 "이 컴퓨터가" 없는 이유?
보안적인 이유  >> 기본적인 보안정책에 의해 막고 있다. 


2003에서 관리도구 >  엑티브디렉토레 사용자 및 컴퓨터 > wtraders.msft    > 개체프레임에서 우클릭
> 새로만들기 ( 사용자)  > 새개체 성과 이름 사용자 로그온 이름 적고 > 암호입력 >마침

xp에서 추가된 계정확인해보기, 사용자계정에서 확인 >  administrator에서 기존에 암호없이 잘썼는데 도메인에 합류하는 순간 정책이 적용되어 암호가 없으면 안되기때문에 새 암호생성해준다
> 그리고 새로 로그온한다(administrator)    >   확인후 로그오프   > wjlee로 로그온한다
=======>>>이게 로컬로그온과 도메인 로그온이다.

원격에서 DC를 관리하기위해 콘솔관리하기위해.
xp에서 DC의 관리자로 로그인해서 xp에서 관리도구가 안보이므로 작업표시줄 우클릭해서 사용자지정에 관리도구표시
> xp 관리자로 로그인해서 >2003서버설치시디넣고 > i386디렉토리의 ADMINPAK설치(서비스팩 1 핫픽스 329474가 깔려있어야한다)
> 사용자 추가해서 > DC에 추가되었는지 확인하고 > Xp에서 추가한 계정으로 접속 >  접속할때 dwlee@nwtraders.msft   로 하면 밑에 귀찮게 안해도 된다. 
> 이제 run as를 해보기위해  "Active Directory 사용자 및 컴퓨터에 shift 우클릭하고 
> administrator@nwtraders.msft 로 로긴하면 su와 같은 효과가 난다.



윈도우에서 암호는 
최대 20자 까지 가능
커퍼로스 사용하면 255자까지 
단점중하나는 레거시 시스템( 암호의 복잡도가 높으면 이전 버전과 호환성이 안좋을수있다)
윈도우에서 대소문자 구분은 레지스트리와 암호입력 뿐임
moc 2003에서 알려주는 2003 기본 암호는   admonistrator  /  P@ssw0rd
moc 2008에서 알려주는 2003 기본 암호는   admonistrator  /  Pa$$w0rd


MMC
스냅인을 이용한 통합 관리도구
나만의 MMC만들기
xp에서 DC에 관리자로 로그온
시작의 실행 > mmc > 스냅인추가 > 추가할거 추가하고 확인 
ex>디스크 관리를 로컬과, 다른 멤버의 디스크 관리를 추가하면 하나의 콘솔에서 여러대의 관리가능


도움말 및 지원센터> 위쪽의 옵션> 왼쪽의 윈도우 도움말 설치 및 공유 >디스크에서 도움말설치> 찾아보기 > 2003서버 시디 찾아 설치


OU 조직구조 ?
도메인내에서 개체를 조직화 하기위해서 사용한다
이는 그룹과는 다르다.
OU는 정책을 내리는 단위, 그룹은 권한을 내리는 단위... 헷갈리지말자

NT 4.0 은 5000개까지 개체지원
Active Directory 는 거의 무한대의 개체 지원
OU는 보안의 용도가 아니라 권한 부여가 안된다.   --> 도메인 개체를 조직화한다. 그룹핑한다. 
==> 관리의 위임을 위한 최소단위가 된다. & 정책을 적용 대상 단위

조직 구조의 계층적 모델
기능기반 =  마케팅 영업부 ...   > Sales consultants Marketing
조직기반 = 국내영업, 해외영업  > Manufacturing Engineering  Research
위치기반 = 
하이브리드기반 = 섞어쓰기

가장많이 쓰이는 것은 하이브리드 기반의 위치기반 + 기능 기반
조직마다 다르게 쓰인다

X.500(DAP)   ===>무겁다  ------->> LDAP(경량화한것)


검색과 저장을 위한 조직구조관리를 위한 개념
RDN =   상대경로처럼,  home                           
DN =   절대경로처럼, 계층적으로 /etc/home

실습 : 조직구조 만드는 방법
* 컨테이너 하위에 OU추가 불가
OU 하위에 OU추가 가능
XP에서 DC관리자로 접속후 active Directory 사용자 및 컴퓨터 에서 
nwtraders.msft에서 우클릭 
새로 만들기 조직구성단위 만들면  
>>>>>  OU 가 만들어짐. 
계속 만들어서 구조를 만들어서 관리가능,    ====  >> 특정 OU만 가능/불가능

* 명령어로 OU 추가하기
dsadd ou ou=bitec, dc=nwtraders, dc=msft
조직 구조를 만들어서 유저를 조직에 드래그가능
하지만 같은 도메인nwtraders.msft으로 구성된 OU들 안에서는 유저의 이동이되고 다르면 안된다
* 리소스킷이 있으면 이동이 가능


2장.  사용자 계정 
등록정보는  꼼꼼하게 등록정보채운다.
사용자계정 :  신분증명, 윈도우내의 서비스 제한(사용자서비스), 특정자원접근제어
로컬 접속과 도메인 접속시 데이터 베이스가 SAM으로 옆에 있으냐, 레퍼런스로 가지고있나차이
이슈 : 동일 이름, 임시직
패스워드기간 제한  : 42일
암호 reset : 사용자가 접속시 새로운암호입력가능

사용자계정 종류 : 4개, 관리, 손님, 원격제어 , 도움말
사용자계정 고려사항:

* 명령어로 유저 추가
dsadd user "cn=shjeon,ou=미국,ou=해외영업부,ou=영업부,dc=nswtraders,dc=msft" 
                                      -samid shejeon -pwd P@ssw0rd
컴퓨터계정 : 유창훈이란 계정을 가진 사람은 특정 컴퓨터에서만 접속가능 & 특정컴퓨터는 
백신을 깔아야지만 인터넷접속가능
ID와 PASSWORD가지고있다. 
이유 : 인증, IPSec,감사, 관리 , SMS(System management server -->SCMM으로바뀜)
컴퓨터계정은 컨테이너 내에 위치

* 실무에서 전원이 켜진상태로 스냅샷을 찍으면 시간 동기화문제로 DC가 멤버를 거부할 수도 있다 
그럴땐 멤버가 도메인에서 workgroup로 갔다가 다시 도메인에 합류하면 재 연결해서 잘된다

* 명령어로 컴퓨터계정 추가 
dsadd computer cn=bu-mem-004,dc=nwtraders,dc=msft -samid bu-mem-004
컴퓨터를 생성후 사용자 계정이 들어가있는 물류팀.... 같은 곳에 넣어두면 해당 
                        컴퓨터도 같은 영향을 받게된다. 나중에 정책설정시

3. 사용자계정 템플릿 생성
똑같은 권한, 역할, 번호같은 부분을 템플릿화해서 이용할 수 있다. 
사용자 계정 클릭해서 우클릭하면 복사. 누르면 일부는 복사되고 나머지는 입력할수있게 복사된다.
실무에서는 일단 틀(기본정보만입력) 만 만들어놓고"사용안함 (disable) 해 놓고 복사를 눌러서 새로만들면서 사용한다.
계정 템플릿 만들때 가이드 라인
각 부서별로, 짦은기간, 완료기간, 
잠김(lock)과 사용안함(disable)의 차이;
잠김은 관리자가아닌 특정 임계값을 넘었을때 자동으로 
사용안함은 관리자가 지정


보안정책적용해서 락 해보기
dc에서 기본도메인 보안설정 --> 보안설정 --> 계정정책 -->암호정책
최근암호기억 : 42일 주기로 바꿔야만하는데, 같은걸 돌면안된다.
dc에서 기본도메인 보안설정 --> 보안설정 --> 계정정책 -->계정잠금정책
여기에서 로그온 횟수및 잠금 시간 결정가능, 
혹 잠겨있는 사용자( 사용자계정에 가면 각 사용자 정보나오는데, 여기서 잠겨있으면
관리자가 해제할 수 있다)

암호리셋 == > 주의!
암호리셋은 암호 초기화 . 사용자가 암호 잊어버렸을때,
* 다음의 정보는 다 날라간다
사용자의 공개키로 암호화된 이메일 
컴퓨터에 저장된 암호정보
암호화된 파일
컴퓨터 계정을 리셋해야 하는 경우
컴퓨터가 도메인 인증에 실패한 경우  -->> 리셋 -->> 안되면 도메인탈퇴후 재가입
암호가 동기화 되어야 할 필요가 있을경우.

* 컴퓨터 시스템의 동기화를 안하고 싶다면 = Microsoft 사이트에서 disablepass changed검색


[[[[[[[[검색!!!]]]]]]]]]]]]]]
Active Directory 의 꽃중의 꽃

저작자표시 비영리

'OS > windows server 2003' 카테고리의 다른 글

Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가  (0) 2011.08.08
0604 보안템플릿 감사 및 보안로그  (0) 2011.06.03
0602 조직구조내 개체에 대학 엑세스 관리  (0) 2011.06.02
0601 그룹관리, 엑세스 제어, printer  (0) 2011.06.01
AND

0601 그룹관리, 엑세스 제어, printer

OS/windows server 2003 2011. 6. 1. 17:28
3. 그룹관리
. 권한 할당의 효율성
. 그룹종류
보안그룹 : 권한 할당을 위한 그룹
배포 : 이메일과 같은 응용프로그램에서만 사용가능함

.도메인기능수준
windows 2000 혼합 :
지원되는 DC - NT, 4.0, 2000 , server 2003    >>  글로벌,  도메인 로컬 그룹 지원가능
windows 2000 기본
지원되는 DC - 2000 server 20003                >> 글로벌, 도메인 로컬, 유니버셜 그룹지원가능
windows server 2003
지원되는 DC - server 2003                          >> 글로벌, 도메인로컬, 유니버셜 그룹 지원가능


<그룹간 전환가능표>


. 기능수준이 올라가게 되면 내리는 것은 불가능 (active directory 사용자 및 컴퓨터에서 도메인 우클릭)
. 글로벌 , 유니버셜, 도메인 로컬 그룹
. 로컬그룹 : 일반 그룹
. 도메인로컬그룹 : Active Directory 안에 구성된 로컬그룹
. 그룹생성 실습해보기
Users >  user 개체 창 우클릭해서 새로만들기 > 그룹
생성 명령어
       dsadd group "cn=DL Sales File Read,ou=영업부,ou=nwtraders,dc=msft" -samid "DL Sales File Read" -secgrp ues -scope l
삭제
               dsrm "cn=DL Sales File Read,ou=영업부,dc=nwtraders,dc=msft"

. 그룹 구성원 관리
. 그룹전략
AGP, AGUDLP ADLP(NT에서, Local은 도메인로컬) AGLP AGDLP
. 그룹중첩은 3단계까지만 하자. 


<그룹의 개념이 없었을 때 >


 

<그룹의 개념이 있을 때 >



* 2003에서 local 은 SAMB이고 NT에서 local은 도메인로컬이다.

XP에서 디렉토리 속성에서 보안 탭에 가면 권한설정이 가능하다.

NT 4.0은 한 도메인 안에  PDC 와 BDC로구성되어있다. 이는 부하 방지 목적으로 BDC는 DC이긴 하지만 PDC와 같은 권한은 없고 단순히 BDC를 PDC에 추가적으로 붙여서 확장성을 용이하게 하는 목적으로 사용되었다. 

하지만 2000 으로 넘어오면서 부터 Active Directory 개념으로 바뀌게 되어 PDC BDC개념이 없어 지고 동일한 권한을 가진 DC의 관계가 되었다. 여기서 DC들은 모두 같은 정보를 가지고 있어야 하는데 DC 끼리의 정보의 불 일치로 인해 문제가 발 생하게 되면 2000은 충돌이 났었지만 , server 2003은  Link Valued Replication으로 가능하다.
 



4. 엑세스 제어

Permission : 무엇을 사용할 수 있냐. 하는 리소스에 대한 작업 가능 여부
Rights : 무엇을 할거냐,  시간변경 전원종료 사용자 생성

Permission이 더 크다. 

윈도우의 보안
- Security Principal(보안주체) : 사용자, 컴퓨터 , 개체 ;;  GUID, SID 부여
- Security IDentifile(SID) : 알파벳과 숫자로 이루어진 값, 보안주체를 유일하게 식별
- DACL( Discrestionary Access Control List) :  개별 리소스에 대해서 각각의 사용자/ 그룹의 접근 허용/거부 리스트             ; Permission에 대한 
- ACE( Access Control Entry) : 개별 보안 entry (DACL 은 ACE가 여러개 모인것.
- SACL : 감사용

솔라리스 보안  되새김질...
: 파일 권한부여  ---->> ACL   --->> RBACL
: Identification  > Authentication   > aythorization


공유폴더 권한상태

명시적 허용 : allow만 채크
명시적 거부 : deny만 채크
암시적 거부 : 둘다 채크 안함
상속을 통한거부: 비활성화 deny만 채크
상속을 통한허용: 비활성화 allow만 채크  



NTFS
동일파티션 에서 파일이나 디렉토리 이동,복사시 : 권한 유지
다른파티션 으로 파일이나 디렉토리 이동,복사시 : 이동된 디렉토리 바로 위의 권한 상속


디렉토리의 고급 보안설정에서 "상속가능한 권한을 부모 개체에서 이 개체 및 모든 자식 개체에......" 이 부분을 채크 해제 하면
다음과같은 선택이 나온다. 
  복사 : 자기까지는 받고 자기 밑에는 안받는다 
  제거 : 자기도 안받는다. 



NTFS에서 중첩 권한 계산

userA(rw) fileA
groupA(r)
-------------------- userA는 groupA의 멤버   userA의 사용권한은 rw

userA(r) fileA
groupA(rw)
-------------------- userA는 groupA의 멤버   userA의 사용권한은 rw

userA(rw) fileA
groupA( )
-------------------- userA는 groupA의 멤버   userA의 사용권한은 권한없음

userA() fileA
groupA(rw)
-------------------- userA는 groupA의 멤버   userA의 사용권한은 권한없음


userA(r) fileA
userB(rw)
groupA(rw)
groupB(rwx)
-------------------- userB는 groupA의 멤버 와 groupB의 멤버  userB의 사용권한은 rwx

userA(r) fileA
userB(rw)
groupA(rw)
groupB( )
-------------------- userB는 groupA의 멤버 와 groupB의 멤버  userB의 사용권한은 권한없음
====================================================================================
1. 권한 중첩시 거부 권한 우선
2. 권한은 합집합.



공유폴더
복사하면 공유해제
공유폴더에 $붙이면 숨김
IPC$ 공유폴더 리스트를 볼때
PRINT$          프린터 공유
NETLOGON
SYSVOL         정책적용할때 로긴시
FAX$ 임시파일이나, 임시로 생성된 파일

공유폴더 관리는
2003  DC
Administrator그룹
Sever Operators그룹
2003을 실행하는 멤버 서버나 독립실행 서버
Administrators 그룹
Power Users 그룹


net share 명령어 참고

명령어는 윈도우에서 공유된 리스트 보여줌
net share c$ /delete
삭제
net share 야동=c;\디렉토리 
추가

 

 
공유폴더를 설정후 Active Directory에 게시하게 되면 검색이 쉬워짐

 

공유폴더와 NTFS권한이 동시에 부여된 경우   =  교집합
공유폴더가 rw인데 NTFS가 r이면 r가 된다.


***   유효사용권한탭 을 사용하면 이러한 권한 계정 계산을 쉽게할 수 있다. 

오프라인 파일
공유폴더를 사용하다가 전원이 나가서 연결이 끊어졌을 경우 대비하여서 클라이언트 사용자가 미리 다 다운받아서 작업하는것이다. 별로 추천은 안한다.




5. Printer
printer : Machine과 Print device(프린터)사이의 인터페이스
프린터를 만들고 엑티브데릭토리랑 연결시키기
DC에서 프린터 추가 하면 바로 Active Directory에 게시가 된다. 
net share 하면 나옴.

검색기능을 통해서 프린터를 검색할 수 있다.    >  검색은 엑티브디렉토리에서 도메인찍고 검색하거나  . 프린터찾기 메뉴를 통해서 찾기 가능

프린터 보안
everyone을 인증받은사용자로 바꾸기
사용자의 권한 조절하기, 
스풀러의 공간을 변경하자.  >>  인쇄서버등록정보에서 바꿀 수 있다. 로그도 저장 여부 체크할 수 있다. 
프린터관리, 문서관리, 인쇄 순으로 관리순위

프린터 우선순위 부여하기 
높은게 우선적이다  안하는게 좋다
프린터 속성에서 고급에 우선순위 조절가능 
   시간제한가능

프린팅 풀 설정
여러대의 프린터를 클러스트링화해서 Idle한 프린터에게 서출력되도록 한다. 같은 공간에 픤터를 놔둬야 한다. 
프린터 속성> 포트 > 밑에 프린터 풀링 채크 >  클러스트링할 프린터목록을 체크

저작자표시 비영리

'OS > windows server 2003' 카테고리의 다른 글

Windows의 로그 파일 종류와 기본 로그들은 어떤 것이 있는가  (0) 2011.08.08
0604 보안템플릿 감사 및 보안로그  (0) 2011.06.03
0602 조직구조내 개체에 대학 엑세스 관리  (0) 2011.06.02
0531 1,2,3 장 사용자계정관련  (0) 2011.06.02
AND

티스토리툴바