typical로 설치하기

i will install the operating system later

micro soft windows-server-2012

이름-여러파일들을 담아줄 디렉토리

용량은10~20,split virtual disk into multiple files

혼자연습할땐 network를 host only로 하고 sound card,printer,usb controller를 제거한다.

그룹

  • 그룹의 범위

도메인 로컬 그룹 > 유니버셜 그룹 >글로벌 그룹

  • 그룹의 포용

그룹은 자기자신과 같거나 자기자신보다 작은 그룹을 그룹을 자기 그룹의 맴버로받아 들일 수 있다.

  • 그룹의 종류

1)보안 그룹

접근 권한과 사용자 권한 부여 기능, 익스체인지용 서버로 이메일 용으로 사용된다.

2)배포그룹

권한 부여용으로 사용 불가능. 이메일 배포용으로 사용한다. 보통 보안 그룹을 사용한다.

  • 그룹중첩

그룹의 중첩이란 임의의 그룹이 다른 그룹의 구성원이 될 수 있는 것이다.

중첩기능을 이용하여 계정을 그룹단위로 소속시키면 복제해야할 사용자의 정보가 줄어들며 권한 부여시 손쉽게 할 수 있다.

  • 효과적인 그룹 사용 전략

도메인 로컬 그룹 > 유니버셜 그룹 >글로벌 그룹 임을 위해서 설명했다.

이를 이용하여 효율적 제어를 하기위한 전략이 필요하다

1.계정 -> 글로벌도메인 <- 권한

-단일 도메인 환경일 때 사용한다.

-다중 도메인 에서는 사용 불가능하므로 비권장

2.계정 -> 도메인로컬 <- 권한

-단일 도메인 환경일 때 사용한다.

-다중 도메인 에서는 사용 불가능하므로 비권장

3.계정-> 글로벌 도메인 -> 도메인로컬 <- 권한

계정을 글로벌 도메인에 넣고 권한을 도메인 로컬에 준다.

-다중 도메인에서 유용하다

-ms에서 구너장한다.

4.계정 -> 글로벌 도메인 -> 유니버셜도메인 -> 도메인 로컬 <- 권한

-다중도메인

-그룹이 비대해지므로 비권장한다.

5.계정 -> 글로벌 -> 로컬 <- 계정

-계정을 글로벌 그룹에 추가한 후 로컬 그룹에 추가한다.

-공유 폴더가 권한을 로컬 그룹에 넘겨주면 계정까지 들어갈 수 있다.

조직단위(ou)와 그룹단위의 차이점

  • 조직단위

조직단위는 그룹 정책 설정을 적용가능하다.

한사용자는 하나의 조직 단위만 소속된다.

자원에 대한 권한을 부여하거나 거부하는 용도로 사용 불가하다.

물리적 인터페이스이다.

  • 그룹단위

그룹정책 설정을 그룹에 직접 적용 불가능하다.

한사용자가 여러 그룹에 소속 가능하다

자원에 대한 접근 권한을 부여하거나 거부하는데 사용된다.

논리적 인터페이스이다.

그룹에 계정추가

  • 그룹으로 계정 추가하기

dsa.msc - builtin에 들어가 이미 만들어진 그룹을 선택하여 우클릭한다

위와같이 진행한다

  • 계정으로 그룹에 추가하기

계정 우클릭하여 보안에 들어가 편집 가능하다.

공유폴더 만들기

폴더를 만들고 우클릭 속성 공유를 눌러 원하는 그룹이나 계정만 접근 가능하도록 할 수 있다.

다른pc로 공유폴더 들어가기

<물론 저 폴더는 everyone으로 공유해 두었다.>

직접 실습하여 보기

-ADDS에 폴더 생성 후 공유
    C:\ADLP
    C:\AGP
    C:\AGDLP
    C:\AGUDLP
-계정생성
    AGP@
    ADLP@
    AGDLP@
    AGUDLP@
그룹전략
전부소문자로한다

-그룹 생성   

AGP-G        글로벌 그룹 생성    AGP 계정 그룹 가입
ADLP-DL        도메인 로컬 그룹 생성    ADLP 계정 그룹 가입
AGDLP-G        글로벌 그룹 생성    AGDLP 계정 그룹 가입

AGDLP-DL    도메인 로컬 그룹 생성    AGDLP-G 그룹 가입

AGUDLP-G    글로벌 그룹 생성    AGUDLP 구성원 추가

AGUDLP-U    유니버설 그룹 생성    AGUDLP-G 그룹 가입
AGUDLP-DL    도메인 로컬 그룹 생성    AGUDLP-U 그룹 가입

-Permission 추가
C:\AGP        AGP-G 읽기, 변경 권한 추가
C:\ADLP        ADLP-DL 읽기, 변경 권한 추가
C:\AGDLP    AGDLP-DL 읽기, 변경 권한 추가
C:\AGUDLP    AGUDLP-DL 읽기, 변경 권한 추가

그룹을 배포용으로 해서 확인도 진행하여 보자.
접속 가능하던 공유폴더가 접속 불가능해 진다.

'윈도우서버' 카테고리의 다른 글

윈도우서버_라우팅  (0) 2018.01.12
엑세스토큰  (0) 2018.01.12
권한  (0) 2018.01.11
for_loop_useradd  (0) 2018.01.11
account operator_sid_permission_접근제어 목록_ntfs_fat32  (0) 2018.01.11

+ Recent posts

티스토리툴바