엑세스 토큰

로그온 수행시 필요한 정보가 들어있어 사용자의 권한을 식별한다.

실습

도메인이 아닌곳에서 administrator로 파일을 만들자. 그리고

계정을 한번 만들어보자

계정만들기

compmgmt.msc에 들어가

다음과 같이 한다.

계정을 새로만든것으로 전환후 administrator 로 만든 파일에 접근하여보자

접근 가능하다.

그 이유는

compmgmt.msc에 들어가서

다음과같이 로컬 사용자 및 그룹 – 그룹 – users를 보면 구성원으로 leonardo\domain users 라는 그룹이 있다.

또한 administrator 로 만든 파일은 보안에 들어가보면 domain user의 접근을 허용한다.

즉 기본생성시 domain user의 그룹안에 소속되어 접근이 가능했던 것이다.

typical로 설치하기

i will install the operating system later

micro soft windows-server-2012

이름-여러파일들을 담아줄 디렉토리

용량은10~20,split virtual disk into multiple files

혼자연습할땐 network를 host only로 하고 sound card,printer,usb controller를 제거한다.

그룹

• 그룹의 범위

도메인 로컬 그룹 > 유니버셜 그룹 >글로벌 그룹

• 그룹의 포용

그룹은 자기자신과 같거나 자기자신보다 작은 그룹을 그룹을 자기 그룹의 맴버로받아 들일 수 있다.

• 그룹의 종류

1)보안 그룹

접근 권한과 사용자 권한 부여 기능, 익스체인지용 서버로 이메일 용으로 사용된다.

2)배포그룹

권한 부여용으로 사용 불가능. 이메일 배포용으로 사용한다. 보통 보안 그룹을 사용한다.

• 그룹중첩

그룹의 중첩이란 임의의 그룹이 다른 그룹의 구성원이 될 수 있는 것이다.

중첩기능을 이용하여 계정을 그룹단위로 소속시키면 복제해야할 사용자의 정보가 줄어들며 권한 부여시 손쉽게 할 수 있다.

• 효과적인 그룹 사용 전략

도메인 로컬 그룹 > 유니버셜 그룹 >글로벌 그룹 임을 위해서 설명했다.

이를 이용하여 효율적 제어를 하기위한 전략이 필요하다

1.계정 -> 글로벌도메인 <- 권한

-단일 도메인 환경일 때 사용한다.

-다중 도메인 에서는 사용 불가능하므로 비권장

2.계정 -> 도메인로컬 <- 권한

-단일 도메인 환경일 때 사용한다.

-다중 도메인 에서는 사용 불가능하므로 비권장

3.계정-> 글로벌 도메인 -> 도메인로컬 <- 권한

계정을 글로벌 도메인에 넣고 권한을 도메인 로컬에 준다.

-다중 도메인에서 유용하다

-ms에서 구너장한다.

4.계정 -> 글로벌 도메인 -> 유니버셜도메인 -> 도메인 로컬 <- 권한

-다중도메인

-그룹이 비대해지므로 비권장한다.

5.계정 -> 글로벌 -> 로컬 <- 계정

-계정을 글로벌 그룹에 추가한 후 로컬 그룹에 추가한다.

-공유 폴더가 권한을 로컬 그룹에 넘겨주면 계정까지 들어갈 수 있다.

조직단위(ou)와 그룹단위의 차이점

• 조직단위

조직단위는 그룹 정책 설정을 적용가능하다.

한사용자는 하나의 조직 단위만 소속된다.

자원에 대한 권한을 부여하거나 거부하는 용도로 사용 불가하다.

물리적 인터페이스이다.

• 그룹단위

그룹정책 설정을 그룹에 직접 적용 불가능하다.

한사용자가 여러 그룹에 소속 가능하다

자원에 대한 접근 권한을 부여하거나 거부하는데 사용된다.

논리적 인터페이스이다.

그룹에 계정추가

• 그룹으로 계정 추가하기

dsa.msc - builtin에 들어가 이미 만들어진 그룹을 선택하여 우클릭한다

위와같이 진행한다

• 계정으로 그룹에 추가하기

계정 우클릭하여 보안에 들어가 편집 가능하다.

공유폴더 만들기

폴더를 만들고 우클릭 속성 공유를 눌러 원하는 그룹이나 계정만 접근 가능하도록 할 수 있다.

다른pc로 공유폴더 들어가기

<물론 저 폴더는 everyone으로 공유해 두었다.>

직접 실습하여 보기

-ADDS에 폴더 생성 후 공유
    C:\ADLP
    C:\AGP
    C:\AGDLP
    C:\AGUDLP
-계정생성
    AGP@
    ADLP@
    AGDLP@
    AGUDLP@
그룹전략
전부소문자로한다

-그룹 생성   

AGP-G        글로벌 그룹 생성    AGP 계정 그룹 가입
ADLP-DL        도메인 로컬 그룹 생성    ADLP 계정 그룹 가입
AGDLP-G        글로벌 그룹 생성    AGDLP 계정 그룹 가입

AGDLP-DL    도메인 로컬 그룹 생성    AGDLP-G 그룹 가입

AGUDLP-G    글로벌 그룹 생성    AGUDLP 구성원 추가

AGUDLP-U    유니버설 그룹 생성    AGUDLP-G 그룹 가입
AGUDLP-DL    도메인 로컬 그룹 생성    AGUDLP-U 그룹 가입

-Permission 추가
C:\AGP        AGP-G 읽기, 변경 권한 추가
C:\ADLP        ADLP-DL 읽기, 변경 권한 추가
C:\AGDLP    AGDLP-DL 읽기, 변경 권한 추가
C:\AGUDLP    AGUDLP-DL 읽기, 변경 권한 추가

그룹을 배포용으로 해서 확인도 진행하여 보자.
접속 가능하던 공유폴더가 접속 불가능해 진다.

사용자권한

• 권한 주기

조건

student-second class-student1에 자기네 ou속 계정을 지우고 삭제할 수 있게 설정

인사팀-우클릭

제어위임

추가-student1

사용자 계정만들기 , 섹제 및 관리

그룹만들기 삭제 및 관리 check

• 권한 뺏기

고급기능을 킨다.

우클릭 –속성-보안-student1 제거

밑에 두줄은 다음과같다.

for /l %%n in (1,1,25) do dsadd user cn=student%%n,ou="second class",ou=class,ou=school,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn student%%n@itbank.com for /l %%n in (1,1,25) do dsadd user cn=student%%n,ou=thirdclass,ou=class,ou=school,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn stduen2%%n@itbank.com

/l -->영어 l이다. 즉 위를 직역하면 순서대로 1부터1개씩증가하여 25까지 for 루프를 도는 %%n이라는 변수를 갖는 순환문을 이용한다.

(유저 추가요령은 동일. upn은 한 도메인당 하나이니 겹치지 않게 주의)

생성,옮기기,변경

• 생성

C:\Users\Administrator>dsadd user cn=example,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn example@leonardo.com dsadd 성공:cn=example,dc=leonardo,dc=com

• ou옮기기 (new parent)

C:\Users\Administrator>dsadd user cn=example,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn example@leonardo.com dsadd 성공:cn=example,dc=leonardo,dc=com

• upn 바꾸어주기

C:\Users\Administrator>dsadd user cn=example,dc=leonardo,dc=com -pwd P@ssw0rd -mustchpwd yes -disabled no -upn example@leonardo.com dsadd 성공:cn=example,dc=leonardo,dc=com

account operator

본래 dc가 설치된 서버에서는 일반 사용자로 접속이 불가능하다.

들어가게 하고싶다면

dsa.msc-built in –account operator에서 사용자 추가시 접속 가능하다.

자식 도메인에서 만든 도메인에도 이를 통하여 dc가 깔려도 접속 가능하다.

sid

사용자 컴퓨터 또는 보안 그룹이 생성시 부여되는 식별값

permission

컴퓨터의 객체에 접근한다.

윈도우는 리눅스와 다르게 읽기와 실행이 묶여있다.

권한 부여는 폴더나 프린터 파일과같이 자원에 권한을 설정할 수 있다.

로컬이나 도메인 계정에 권한이 설정될 수 있다.

권한은 상속이 가능하다.

접근제어 목록

• 임의 접근 제어 목록(dacl)

자원에 접근이 허락되거나 거부된 사용자와 그룹의 목록을 갖는다.

ntfs 볼륨의 파일과 폴더는 dacl과 연관된다.

• 시스템 접근 제어 목록

sacl 접근에 대한 감시를 제어

• 접근 제어 엔트리

dacl 또는 sacl 항목을 정의한다.

dacl에 ace가 명시 되지 않으면 해당 자원에 접근은 거부된다.

디스크 포멧 (ntfs, fat32)

fat32

메타 정보에 담기는 정보가 적어 읽기 속도가 빠르며 호완성이 좋다.

32g까지만 지원하며 4g이상의 정보를 담을수 없고 보안에 취약하다

ntfs

호완성이 떨어지며 비교적 느리다. 보안이 강하고 4g이상의 정보를 담을 수 있다.

exfat

각각의 장점을 합쳤다. 파일 시스템이 불안정하여 단순파일을 옮길때 사용한다.

vm을 통하여 직접 알아보기

하드디스크 클릭-add-scsi-create new disk-1g

작업을 완료하고 다시 들어가보자

-cmd – diskmgmt.msc에 들어가 면 밑에 화면이 나온다.

맨저음 디스크1에 마우스를 올리고 우클릭하여 온라인을 누른후

다시 디스크1에 우클릭시 디스크 초기화가 있다. 이를 통해 디스크를 초기화한다

-초기화후 우측파트를 우클릭시 새단순볼륨을 눌러 하나는 ntfs-500, 다른 하는 fat32-500을 해줄시 밑에와 같은 화면이 된다.

내컴퓨터로 가서 두 개의 디스크가 잘생성됨을 확인한후 각각에 폴더하나씩을 만들어보자. ntfs만 폴더-속성에서 보안이 활성화 됨을 알 수 있다.

도메인에 가입하기

일단 앞장에서 도메인이 될 서버의 ip주소를 확인한다.

이유는 그 도메인이 dns서버가 되기 때문이다.

예를들어 내 서버의 도메인의 ip 는 다음과 같다.

그리고 가입시켜줄 가입자에는 dns 서버 주소를 위의 서버 ip 와 동일하게 입력하여 준다.

그리고 window+r 누른 후 ncpa.cpl에 접속.

변경을 누르고 도메인을 클릭후 내가 원하는 도메인명을 입력하여 준다.

그리고 도메인 가입할 계정과 pw를 입력하라도 나오면

클라이언트의 가입을 허락하는 계정은 administrator 이므로 일단

administrator 의 id와 pw를 입력하면 가입완료.

가입 확인하기

가입자의 pc 를 확인하기 위하여 도메인 서버로 가서

윈도우 +r키를 누르고 dsa.msc를 누른다.

leonardo.com 안의 computers에 들어가보면 가입자가 잘있음을 확인할 수 있다.

로그온 방식

위의 two는 가입자이다.

그냥 two로 들어가게 된다면 local(기존 pc)로 로그온 하는 것이다.

우측에 기타사용자로 들어가서 다음과 같이 입력하여도 two로 들어가는 것이다.

즉 <도메인 or Netbios명 >\ <계정> 이러한 방식이 성립된다.

위와 같이 입력시 도메인의 administrator로 접속하게 되는것이다.

컴퓨터 명 설정

sysdm.cpl에 들어간다.

다음과같이 설정한다.

윈도우 업데이트

위와같이 업데이트 해준다.

업데이트 버튼 누른후 vm 화면을 누르면 생성된다.

그리고 표준설치를 누른다.

서버관리자와 dns 서버

서버관리자는 기능을 부여한다.

한 서버를 dns서버로 만들기 위한 과정은 다음과 같다.

위와같이 해준다.

active directory lds도 설치한후 재부팅해 주자.

work group
작업그룹으로 컴퓨터를 각자 따로따로 관리하는 독립 실행형이다.

domain
특정 그룹으로 pc를 묶어 관리하는 형태이다. 중앙 집중식 관리로 adds설치가 필요하다.

재부팅하면 다음과같이 깃발아래 느낌표가있다.

들어가보자

컨트롤러 승격버튼을 누른후

새포리스트 추가를 한다.

그리고 원하는 서버명을 입력해준다.

경로를 잘보고 넘어간다

검토 옵션은 다음을 눌러준다.

필수 구성 요소를 확인하고 설치한다.

참고로 dc가 설치된 서버에서는 local로 사용하고 더이상 workgroup을 사용할 수 없게 된다.

window+r 키를 눌러 dsa.msc

dsa.msc는 참고로 adds를 설치한곳에서만 열리는 것이다.

에 들어가 들어가 보자

보면 leonardo.com의 하위가 ad 계정 파일이다.

하위 파일들을 컨테이너라 한다.

builtin 안에는 여러 계정들이 들어가 있다.

이 계정과 컨테이너는 삭제가 불가능하다.

default로 만들어진 것으로 기본 객체들이다.

이것이 없다면 도메인은 비정상적으로 작동한다.

-->도메인 생성 성공!

맴버도메인 만들기

다른 서버에역시 도메인 서버와 마찬가지로 서버관리자에서 dns와 adds를 설치하자

즉 일단 도메인을 생성한 후에 부모가 되는 도메인에 하위 도메인으로 소속시켜주는 방식이다.

재부팅하면 다음과같이 깃발아래 느낌표가있다.

들어가보자

컨트롤러 승격버튼을 누른후

기존 포리스트에 새 도메인을 추가한다.

부모도메인은 leonardo가 되고 새 도메인 이름은

lee로 하겠다.

이때 중요한것은 부모의 도메인이 될 pc가 켜져있어야 자식이 찾을 수 있다.

나머진 순차적으로 밟아주면 완성된다.

VM WARE에 윈도우 서버 설치하기 및 개념

-VMWARE에 들어간다
-CREATE
`TYPICAL은 권장설정이다. 권장설정은 또한 default이다.
-CUSTOM
`물리적인 PC를 HOST OS 라 하며 가상머신의 PC를 GUEST OS라 한다
`MOVE IT 은 그대로 옮기는 것이다. COPIED IT은 옮기되 설정해야할 부분은 두고 옮기는 것을 의미한다
`32bit cpu는 프로세스가 동시에 32개를 실시하고 64bit 는 64개를 실시함을 의미한다. 이를 컴퓨터로 확인하기 위해서는 윈도우키 +　Pause and break 버튼을 동시에 누르면 된다.
`i3 는 듀얼코어, i5,i7는 쿼드코어 . i7은 옥타코어가 있다. i7-3xxx이면 3세대이다.
-workstaition12
-I will install the...
`disc, installer disc image file... 은 제품키를 넣으라는 것으로 선택하지 않는다.
-microsoft windows=windowserver 2012
-소문자로 Leonardo
-fireware (하드웨어 정보가 담긴 데이터를 어떠한 방식으로 사용하겠는가)-bios (basic input output system)
-processor configuration (프로세서를 몇 개를 쓰겠니?) 1(내 cpu 개수) 1(사용할 cpu 개수) 1 (cpu가 하나이므로.)
-2048
`메모리는 한번에 던질수 있는 양을 의미하고 CPU는 던지는 속도를 의미한다.
`윈도우 2012는 설치가 오래 안걸린다. 즉 default. 권장 설치량이 작아서 그렇다. 그에비해 2008은 설치가 오래걸린다. 권정 설치량이 많기 때문이다. 하지만 패키지를 설치함에 있어 2012가 설치된게 적어 오래걸리게 된다.
`모뎀-전류를 증폭시킨다. 네트워크의 키포인트는 연결성이라 할 수 있다.
`HOST ONLY-는 피시 안에 가상머신끼리만 통신이 가능한 네트워크 방식이다
`BRIDGE 는 NIC(LAN카드)카드가 그대로 공유기에 연결되 있는 것을 의미한다. 즉 HOST 와 GUEST가 전부 하나의 공유기에 연결되있음을 의미한다
`NAT은 내부 IP를 외부 IP로 변환해주는 것을 의미한다.
내 PC의 IP주소
192.168.43.180
외부 IP 주소
 223.62.212.76
-host only
-LSI
-SCSI
-Create
`use an existicg virtual: 다른이가 설정하거나 설치해 둔 것을 사용한다
-20G
실제 20G가 아닌 논리적 20을 의미한다 ALOCATE를 체크하개되면 20G를 실제로 할당하게 되는데 이렇게 사용하지는 않는다
-MULTIPLE
`SINGLE은 하드를 한 개만 사용하고 멀티플은 하드를 여러개 사용하여 데이터를 저장하는 것을 의미한다. 멀티플이 빠르다.
-aLeonardo.vmdk
-customize hardware
-usb를 삭제한다
`이유는 usb를 host보다 guest pc에서 먼저 인식해 버린다
-cd 이미지파일
add-standard gui 포함해서- 사용자지정- 20G파티션설정없이 그냥 사용한다. 
클라이언트 Leonardo1, Leonardo2을 추가

완성시

윈도우와 리눅스 서버의 비교

윈도우

마이크로 소프트에서 만듦

유료

제한적인 기능과 서비스를 제공

폐쇄적임

리눅스

밴더사 및 개인이 생성과 정비 가능

무료

생성에 따른 무제한적인 서비스

공객적

윈도우의 특징 및 역사

1-1)smp

대칭형 프로세스로 두개 이상의 프로세스가 한개의 메모리를 사용.

작업을 위한 데이터가 메모리의 어느 위치에 있던 프로세스에 허용

1-2)asmp

운영체제가 특정 프로세스에서만 실행되고 나머지 프로세서에서 사용자 스레드가 실행된다.

(부하분산(load balancing) - 컴퓨터 내에서 부하가 가능한 한 균등하게 되도록 작업을분산하여 할당)

2)r2와 시작버튼

윈도우 서버 2012가 처음 나왔을때 시작버튼이 없었다.

불편을 토로하는 사용자들로 인해 시작버튼을 만들어 주었다.

윈도우 8의 경우도 시작버튼이 없어 윈도우 10에서 추가하여 주었다.

윈도우 10의 경우 시작버튼이 있는 실행창과 어플리케이션형 실행창 두가지를 사용 할 수 있도록 해주었다.

윈도우 서버의 6가지 서비스

1.acive directory domain servic

ad라고도 불린다.

마이크로소프트가 윈도우용 환경에서 사용하기 위해 개발한 서비스이다.

목적은 윈도우용 컴퓨터들의 인증서비스를 제공하는 것이다.

또한 관리자들에게 정책을 할당하고 업데이트를 적용한다.

2.files serivice

웹하드. ftp. 파일분산 시스템 등 저장공간을 빌려준다.

3.print service

프린트 서비스를 제공한다. 하지만 요즘 프린터기들은 다이렉트로 연결하여 이러한 서비스는 필요하지 않는다.

4.terminal service

원격 데스크톱, 원격 서비스를 의미한다.

5.web service iis(internet information service)

인터넷 기반 서비스들의 모임이다. 인터넷 정보 서버로 모듈 사용을 제공한다.

6.dns 서버