classful 이다.
기존의 a,b,c,d,e클래스 를 인정하여 네트워크를 분리한다.
classless 이다.
기존의 분류된 범위를 사용하지 않고 관리자가 임의로 분류하고 주소를 지정한다.
| 엑세스토큰 (0) | 2018.01.12 |
|---|---|
| typical설치_조직과 그룹_공유폴더 (0) | 2018.01.11 |
| 권한 (0) | 2018.01.11 |
| for_loop_useradd (0) | 2018.01.11 |
| account operator_sid_permission_접근제어 목록_ntfs_fat32 (0) | 2018.01.11 |
로그온 수행시 필요한 정보가 들어있어 사용자의 권한을 식별한다.
도메인이 아닌곳에서 administrator로 파일을 만들자. 그리고
계정을 한번 만들어보자
compmgmt.msc에 들어가
다음과 같이 한다.
계정을 새로만든것으로 전환후 administrator 로 만든 파일에 접근하여보자
접근 가능하다.
그 이유는
compmgmt.msc에 들어가서
다음과같이 로컬 사용자 및 그룹 – 그룹 – users를 보면 구성원으로 leonardo\domain users 라는 그룹이 있다.
또한 administrator 로 만든 파일은 보안에 들어가보면 domain user의 접근을 허용한다.
즉 기본생성시 domain user의 그룹안에 소속되어 접근이 가능했던 것이다.
| 윈도우서버_라우팅 (0) | 2018.01.12 |
|---|---|
| typical설치_조직과 그룹_공유폴더 (0) | 2018.01.11 |
| 권한 (0) | 2018.01.11 |
| for_loop_useradd (0) | 2018.01.11 |
| account operator_sid_permission_접근제어 목록_ntfs_fat32 (0) | 2018.01.11 |
i will install the operating system later
micro soft windows-server-2012
이름-여러파일들을 담아줄 디렉토리
용량은10~20,split virtual disk into multiple files
혼자연습할땐 network를 host only로 하고 sound card,printer,usb controller를 제거한다.
도메인 로컬 그룹 > 유니버셜 그룹 >글로벌 그룹
그룹은 자기자신과 같거나 자기자신보다 작은 그룹을 그룹을 자기 그룹의 맴버로받아 들일 수 있다.
1)보안 그룹
접근 권한과 사용자 권한 부여 기능, 익스체인지용 서버로 이메일 용으로 사용된다.
2)배포그룹
권한 부여용으로 사용 불가능. 이메일 배포용으로 사용한다. 보통 보안 그룹을 사용한다.
그룹의 중첩이란 임의의 그룹이 다른 그룹의 구성원이 될 수 있는 것이다.
중첩기능을 이용하여 계정을 그룹단위로 소속시키면 복제해야할 사용자의 정보가 줄어들며 권한 부여시 손쉽게 할 수 있다.
도메인 로컬 그룹 > 유니버셜 그룹 >글로벌 그룹 임을 위해서 설명했다.
이를 이용하여 효율적 제어를 하기위한 전략이 필요하다
1.계정 -> 글로벌도메인 <- 권한
-단일 도메인 환경일 때 사용한다.
-다중 도메인 에서는 사용 불가능하므로 비권장
2.계정 -> 도메인로컬 <- 권한
-단일 도메인 환경일 때 사용한다.
-다중 도메인 에서는 사용 불가능하므로 비권장
3.계정-> 글로벌 도메인 -> 도메인로컬 <- 권한
계정을 글로벌 도메인에 넣고 권한을 도메인 로컬에 준다.
-다중 도메인에서 유용하다
-ms에서 구너장한다.
4.계정 -> 글로벌 도메인 -> 유니버셜도메인 -> 도메인 로컬 <- 권한
-다중도메인
-그룹이 비대해지므로 비권장한다.
5.계정 -> 글로벌 -> 로컬 <- 계정
-계정을 글로벌 그룹에 추가한 후 로컬 그룹에 추가한다.
-공유 폴더가 권한을 로컬 그룹에 넘겨주면 계정까지 들어갈 수 있다.
조직단위는 그룹 정책 설정을 적용가능하다.
한사용자는 하나의 조직 단위만 소속된다.
자원에 대한 권한을 부여하거나 거부하는 용도로 사용 불가하다.
물리적 인터페이스이다.
그룹정책 설정을 그룹에 직접 적용 불가능하다.
한사용자가 여러 그룹에 소속 가능하다
자원에 대한 접근 권한을 부여하거나 거부하는데 사용된다.
논리적 인터페이스이다.
dsa.msc - builtin에 들어가 이미 만들어진 그룹을 선택하여 우클릭한다
위와같이 진행한다
계정 우클릭하여 보안에 들어가 편집 가능하다.
폴더를 만들고 우클릭 속성 공유를 눌러 원하는 그룹이나 계정만 접근 가능하도록 할 수 있다.
<물론 저 폴더는 everyone으로 공유해 두었다.>
-ADDS에 폴더 생성 후 공유
C:\ADLP
C:\AGP
C:\AGDLP
C:\AGUDLP
-계정생성
AGP@
ADLP@
AGDLP@
AGUDLP@
그룹전략
전부소문자로한다
-그룹 생성
AGP-G 글로벌 그룹 생성 AGP 계정 그룹 가입
ADLP-DL 도메인 로컬 그룹 생성 ADLP 계정 그룹 가입
AGDLP-G 글로벌 그룹 생성 AGDLP 계정 그룹 가입
AGDLP-DL 도메인 로컬 그룹 생성 AGDLP-G 그룹 가입
AGUDLP-G 글로벌 그룹 생성 AGUDLP 구성원 추가
AGUDLP-U 유니버설 그룹 생성 AGUDLP-G 그룹 가입
AGUDLP-DL 도메인 로컬 그룹 생성 AGUDLP-U 그룹 가입
-Permission 추가
C:\AGP AGP-G 읽기, 변경 권한 추가
C:\ADLP ADLP-DL 읽기, 변경 권한 추가
C:\AGDLP AGDLP-DL 읽기, 변경 권한 추가
C:\AGUDLP AGUDLP-DL 읽기, 변경 권한 추가
그룹을 배포용으로 해서 확인도 진행하여 보자.
접속 가능하던 공유폴더가 접속 불가능해 진다.
| 윈도우서버_라우팅 (0) | 2018.01.12 |
|---|---|
| 엑세스토큰 (0) | 2018.01.12 |
| 권한 (0) | 2018.01.11 |
| for_loop_useradd (0) | 2018.01.11 |
| account operator_sid_permission_접근제어 목록_ntfs_fat32 (0) | 2018.01.11 |
조건
student-second class-student1에 자기네 ou속 계정을 지우고 삭제할 수 있게 설정
인사팀-우클릭
제어위임
추가-student1
사용자 계정만들기 , 섹제 및 관리
그룹만들기 삭제 및 관리 check
고급기능을 킨다.
우클릭 –속성-보안-student1 제거
| 엑세스토큰 (0) | 2018.01.12 |
|---|---|
| typical설치_조직과 그룹_공유폴더 (0) | 2018.01.11 |
| for_loop_useradd (0) | 2018.01.11 |
| account operator_sid_permission_접근제어 목록_ntfs_fat32 (0) | 2018.01.11 |
| dos_dsadd (0) | 2018.01.11 |
밑에 두줄은 다음과같다.
for /l %%n in (1,1,25) do dsadd user cn=student%%n,ou="second class",ou=class,ou=school,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn student%%n@itbank.com for /l %%n in (1,1,25) do dsadd user cn=student%%n,ou=thirdclass,ou=class,ou=school,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn stduen2%%n@itbank.com
/l -->영어 l이다. 즉 위를 직역하면 순서대로 1부터1개씩증가하여 25까지 for 루프를 도는 %%n이라는 변수를 갖는 순환문을 이용한다.
(유저 추가요령은 동일. upn은 한 도메인당 하나이니 겹치지 않게 주의)
C:\Users\Administrator>dsadd user cn=example,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn example@leonardo.com dsadd 성공:cn=example,dc=leonardo,dc=com
C:\Users\Administrator>dsadd user cn=example,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn example@leonardo.com dsadd 성공:cn=example,dc=leonardo,dc=com
C:\Users\Administrator>dsadd user cn=example,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn example@leonardo.com dsadd 성공:cn=example,dc=leonardo,dc=com
| typical설치_조직과 그룹_공유폴더 (0) | 2018.01.11 |
|---|---|
| 권한 (0) | 2018.01.11 |
| account operator_sid_permission_접근제어 목록_ntfs_fat32 (0) | 2018.01.11 |
| dos_dsadd (0) | 2018.01.11 |
| 조직_ou_도메인변경_mmc_사용자계정_로컬_sid_계정표현_계정생성 (0) | 2018.01.11 |
본래 dc가 설치된 서버에서는 일반 사용자로 접속이 불가능하다.
들어가게 하고싶다면
dsa.msc-built in –account operator에서 사용자 추가시 접속 가능하다.
자식 도메인에서 만든 도메인에도 이를 통하여 dc가 깔려도 접속 가능하다.
사용자 컴퓨터 또는 보안 그룹이 생성시 부여되는 식별값
컴퓨터의 객체에 접근한다.
윈도우는 리눅스와 다르게 읽기와 실행이 묶여있다.
권한 부여는 폴더나 프린터 파일과같이 자원에 권한을 설정할 수 있다.
로컬이나 도메인 계정에 권한이 설정될 수 있다.
권한은 상속이 가능하다.
자원에 접근이 허락되거나 거부된 사용자와 그룹의 목록을 갖는다.
ntfs 볼륨의 파일과 폴더는 dacl과 연관된다.
sacl 접근에 대한 감시를 제어
dacl 또는 sacl 항목을 정의한다.
dacl에 ace가 명시 되지 않으면 해당 자원에 접근은 거부된다.
메타 정보에 담기는 정보가 적어 읽기 속도가 빠르며 호완성이 좋다.
32g까지만 지원하며 4g이상의 정보를 담을수 없고 보안에 취약하다
호완성이 떨어지며 비교적 느리다. 보안이 강하고 4g이상의 정보를 담을 수 있다.
각각의 장점을 합쳤다. 파일 시스템이 불안정하여 단순파일을 옮길때 사용한다.
하드디스크 클릭-add-scsi-create new disk-1g
작업을 완료하고 다시 들어가보자
-cmd – diskmgmt.msc에 들어가 면 밑에 화면이 나온다.
맨저음 디스크1에 마우스를 올리고 우클릭하여 온라인을 누른후
다시 디스크1에 우클릭시 디스크 초기화가 있다. 이를 통해 디스크를 초기화한다
-초기화후 우측파트를 우클릭시 새단순볼륨을 눌러 하나는 ntfs-500, 다른 하는 fat32-500을 해줄시 밑에와 같은 화면이 된다.
내컴퓨터로 가서 두 개의 디스크가 잘생성됨을 확인한후 각각에 폴더하나씩을 만들어보자. ntfs만 폴더-속성에서 보안이 활성화 됨을 알 수 있다.
| 권한 (0) | 2018.01.11 |
|---|---|
| for_loop_useradd (0) | 2018.01.11 |
| dos_dsadd (0) | 2018.01.11 |
| 조직_ou_도메인변경_mmc_사용자계정_로컬_sid_계정표현_계정생성 (0) | 2018.01.11 |
| 도메인가입_가입확인_로그온방식 (0) | 2018.01.10 |
dsadd /?는 dsadd 에대한 정보를 알려준다.
이를 바탕화면에 텍스트문서로 저장하고 싶다면
이러한 방식으로 해준다.
힌트는 이것!
C:>dsadd user cn=smith,ou=class,ou=school,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn smith@leonardo.com dsadd 성공:cn=smith,ou=class,ou=school,dc=leonardo,dc=com
#user name은 smith 한다
#ou는 school밑에 class
#도메인은 com 밑에 leonardo
#pwd를 통해 pw설정. pw 없으면 계정 접속 불가능
#mustchpwd를 통하여 처음 로그인시 pw 재설정
#disabled no 로 사용하지 않음을 no로 하여 사용한다
#upn. 즉 접속시 id를 설정하여줌
| for_loop_useradd (0) | 2018.01.11 |
|---|---|
| account operator_sid_permission_접근제어 목록_ntfs_fat32 (0) | 2018.01.11 |
| 조직_ou_도메인변경_mmc_사용자계정_로컬_sid_계정표현_계정생성 (0) | 2018.01.11 |
| 도메인가입_가입확인_로그온방식 (0) | 2018.01.10 |
| pc명 설정_업데이트_도메인설치_맴버도메인(자식) (0) | 2018.01.10 |
계정에 권한을 주는 단위이다.
adds는 자체로 도메인 서버이며 로컬이 된다.
따라서 기타사용자가 로컬아니 도메인서버로 접속하여도 동일하게 보인다.
조직 실습
dsa.msc 명령어를 통하여 adds(active directory domain service) 에 접속한다.
leonardo.com에 우클릭 – 새로만들기 – 조직구성단위 (ou)-school
class-student를 만들어준다.
그리고 한번 지워보자 안지워진다. 설정때문에 그렇다. 밑을 참고하자.
(삭제할 권한이 없거나 개체가 보호되어 있기 때문이다.
이를 해제하기 위해서는 보기-고급기능을 눌러준다. 그리고 파일을 우클릭하여
속성-개체에 들어가 확인하도록 하자.)
ou란?
조직 단위이다.
도메인 내부의 디렉토리 객체이다.
그룹정책 설정을부여하거나 관리 권한을 위임할 수 있는 가장 작은 단위이다.
사용자와 컴퓨터, 그룹, 프린터, 조직 단위들을 포함한다.
논리적인 구조를 표현하기 위하여 도메인 내부에 컨테이너를 생성하며 그룹정책을 시행한다.
위와같이 로컬로 sysdm.cpl에 접속하여 작업그룹으로 전환시 탈퇴된다.
one에서 도메인으로 접속하여 준다.
1.leonardo.com의 pc 제어해보기
일단 window+r 키를 눌러서 mmc를 들어가주도록 한다.
상단에 파일을 누르고 스냅인 추가/제거를 눌러준다.
-컴퓨터 관리-추가-로컬 컴퓨터를 눌러준다.
-다른 컴퓨터 – 찾아보기 – 찾을위치(leonardo.com)- 고급- 지금찾기
-다른 컴퓨터 – 찾아보기 – 찾을위치 – 위치 – lee.leonardo.com-고급-지금찾기
사용자계정
사용자 계정의 저장 위치는 active directory domain server이다.
인증을 받아 로컬이나 네트워크 자원에 접근하는 것을 가능하게 해준다.
로컬 컴퓨터
로컬 계쩡은 단일 컴퓨터에 로그인 하는것과 로컬 자원에 접근하는것을 가능하게 해준다.
local 계정의 정보는 sam 파일에 저장된다.
sid
사용자 계정을 만들면 security id가 생성된다.
권한을 부여하는 용도로 사용되며 출입증을 예로 들 수 있다.
dsa.msc에 접속하여
원하는 조직에 우클릭-새로만들기-사용자를 통하여 한번 생성하여 보자.
각종 옵션을 걸어 생성가능함을 알 수 있다.
그 계정으로 로그인시 leonardo\
규모와 속도를 단순화하고 줄여서 내가 원하는대로 control가능하게하며 원치않은 동작을 막는다.
| account operator_sid_permission_접근제어 목록_ntfs_fat32 (0) | 2018.01.11 |
|---|---|
| dos_dsadd (0) | 2018.01.11 |
| 도메인가입_가입확인_로그온방식 (0) | 2018.01.10 |
| pc명 설정_업데이트_도메인설치_맴버도메인(자식) (0) | 2018.01.10 |
| ip설정_서버관리자_ping_대화형로그온 (0) | 2018.01.10 |
일단 앞장에서 도메인이 될 서버의 ip주소를 확인한다.
이유는 그 도메인이 dns서버가 되기 때문이다.
예를들어 내 서버의 도메인의 ip 는 다음과 같다.
그리고 가입시켜줄 가입자에는 dns 서버 주소를 위의 서버 ip 와 동일하게 입력하여 준다.
그리고 window+r 누른 후 ncpa.cpl에 접속.
변경을 누르고 도메인을 클릭후 내가 원하는 도메인명을 입력하여 준다.
그리고 도메인 가입할 계정과 pw를 입력하라도 나오면
클라이언트의 가입을 허락하는 계정은 administrator 이므로 일단
administrator 의 id와 pw를 입력하면 가입완료.
가입자의 pc 를 확인하기 위하여 도메인 서버로 가서
윈도우 +r키를 누르고 dsa.msc를 누른다.
leonardo.com 안의 computers에 들어가보면 가입자가 잘있음을 확인할 수 있다.
위의 two는 가입자이다.
그냥 two로 들어가게 된다면 local(기존 pc)로 로그온 하는 것이다.
우측에 기타사용자로 들어가서 다음과 같이 입력하여도 two로 들어가는 것이다.
즉 <도메인 or Netbios명 >\ <계정> 이러한 방식이 성립된다.
위와 같이 입력시 도메인의 administrator로 접속하게 되는것이다.
| dos_dsadd (0) | 2018.01.11 |
|---|---|
| 조직_ou_도메인변경_mmc_사용자계정_로컬_sid_계정표현_계정생성 (0) | 2018.01.11 |
| pc명 설정_업데이트_도메인설치_맴버도메인(자식) (0) | 2018.01.10 |
| ip설정_서버관리자_ping_대화형로그온 (0) | 2018.01.10 |
| vm ware로 window server 작업 세팅 (0) | 2018.01.10 |
sysdm.cpl에 들어간다.
다음과같이 설정한다.
위와같이 업데이트 해준다.
업데이트 버튼 누른후 vm 화면을 누르면 생성된다.
그리고 표준설치를 누른다.
서버관리자는 기능을 부여한다.
한 서버를 dns서버로 만들기 위한 과정은 다음과 같다.
위와같이 해준다.
active directory lds도 설치한후 재부팅해 주자.
work group
작업그룹으로 컴퓨터를 각자 따로따로 관리하는 독립 실행형이다.
domain
특정 그룹으로 pc를 묶어 관리하는 형태이다. 중앙 집중식 관리로 adds설치가 필요하다.
재부팅하면 다음과같이 깃발아래 느낌표가있다.
들어가보자
컨트롤러 승격버튼을 누른후
새포리스트 추가를 한다.
그리고 원하는 서버명을 입력해준다.
경로를 잘보고 넘어간다
검토 옵션은 다음을 눌러준다.
필수 구성 요소를 확인하고 설치한다.
참고로 dc가 설치된 서버에서는 local로 사용하고 더이상 workgroup을 사용할 수 없게 된다.
window+r 키를 눌러 dsa.msc
dsa.msc는 참고로 adds를 설치한곳에서만 열리는 것이다.
에 들어가 들어가 보자
보면 leonardo.com의 하위가 ad 계정 파일이다.
하위 파일들을 컨테이너라 한다.
builtin 안에는 여러 계정들이 들어가 있다.
이 계정과 컨테이너는 삭제가 불가능하다.
default로 만들어진 것으로 기본 객체들이다.
이것이 없다면 도메인은 비정상적으로 작동한다.
-->도메인 생성 성공!
다른 서버에역시 도메인 서버와 마찬가지로 서버관리자에서 dns와 adds를 설치하자
즉 일단 도메인을 생성한 후에 부모가 되는 도메인에 하위 도메인으로 소속시켜주는 방식이다.
재부팅하면 다음과같이 깃발아래 느낌표가있다.
들어가보자
컨트롤러 승격버튼을 누른후
기존 포리스트에 새 도메인을 추가한다.
부모도메인은 leonardo가 되고 새 도메인 이름은
lee로 하겠다.
이때 중요한것은 부모의 도메인이 될 pc가 켜져있어야 자식이 찾을 수 있다.
나머진 순차적으로 밟아주면 완성된다.
| 조직_ou_도메인변경_mmc_사용자계정_로컬_sid_계정표현_계정생성 (0) | 2018.01.11 |
|---|---|
| 도메인가입_가입확인_로그온방식 (0) | 2018.01.10 |
| ip설정_서버관리자_ping_대화형로그온 (0) | 2018.01.10 |
| vm ware로 window server 작업 세팅 (0) | 2018.01.10 |
| 윈도우 와 리눅스의 비교. 윈도수 서버의 주요 역할 (0) | 2018.01.10 |
