VMware 실습/ㄴ Window

5월 13일 (Active Directory 실습 - 2)

깜자왕 2022. 5. 13. 17:57
반응형

복습

 

1. Active Directory란 무엇입니까?
  - 일반적인 회사(좀 규모가 있는 회사)의 네트워크 상황을 Windows Server에서 구현하기 위한 기술

  - AD로 제공되는 기능은 너무 많다.

   특정 Group안에 들어가는 사용자 및, 단말에 대한 규칙을 제공하는 것
         특정 Group이란, (Domain을 의미 합니다.) ex) this.com
         특정 Group안에서 관리되는 인자는 "사용자" "단말(Window OS)" 입니다.
         특정 Group을 관리하는 서버를 "Domain Controller"라고 합니다.

2. Active Directory의 사용목적은 무엇입니까?
  - 사용자의 정보, 계정의 관리 일원화
  - 그룹정책을 통한 업무환경 개선 침 보안 리스크 최소화
      - 사용자 그룹 정책
      - 컴퓨터 그룹 정책
      (사용 권한 제어, 계정 및 암호정책, 네트워크정책, 소프트웨어 제한)
  - 개인별로 운영, 관리되고 있는 업무용 PC등 전산자원을 논리적으로 조직화 하여, 중앙에서 통합관리
  - 네트워크 상으로 나눠져 있는 여러 자원 (Resource)을 중앙의 관리자가 통합하여 관리함으로써, 본사 및 지사의 직원     들은 자신의 PC에 모든 정보를 보관할 필요가 없어짐
  - 타 지사에 출장을 가서도 자신의 아이디로 로그인만 하면 타인의 PC가 자신의 PC 환경과 마찬가지로 변경됨
  - PC가 있는 장소와 무관하게 회사의  어디서든지 회사 전체 자원을 편리하게 사용
       
3. Active Directory에서 사용하는 Domain과 Tree는 무엇입니까?
  도메인 (Domain)
    -  Active Directory의 가장 기본이 되는 단위.  (this.com, /second.this.com)
    - 서울 본사, 부산 지사 등이 각각 하나의 도메인이라고 보면 됨.


  트리(Tree)(this.com, that.com각각의 Tree)와 포리스트(Forest)(this.com, that.com 2개의 Tree를 통합해 Forest가 됨)
    - 트리는 도메인의 집합. 포리스트는 두 개 이상의 트리로 구성.
    - 도메인 < 트리 ≤ 포리스트의 관계
 
   >> Domain을 나눠서 사용하는 이유
              >>  성능향상, >> 분리된 정책적용

4. DC(Domain Controller)는 무엇입니까?
 - 로그인, 이용 권한 확인, 새로운 사용자 등록, 암호 변경 그룹 등을 처리하는 기능을 하는 서버 (Domain을 관리하는 서버)
 - 도메인에 하나 이상의 DC를 설치.

5. 글로벌 카탈로그(Global Catalog, 약자로 GC)는 무엇입니까?
 - 트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장되는 통합 저장소
 - GC는 포레스트안에서 서로 공유됨 
            >> 서울지사 사용자, 부산지사 사용자 모두 각각의 DC에서 모두 보임

     >> Domain Service를 활성화 합니다.
     >> Domain Service를 관리할 Domain Controller를 설정 (승격)
     >> 추가적인 Domain (Sub Domain) 생성하여, Tree를 생성함  >> Domain간 정보 공유

 

확인1. - Domain을 생성하고, Controller를 구성하고, Controller에서 Domain 사용자를 생성하고, Domain 사용자가 Domain에 Join하게 설정할 수 있다 (특정 단말도 Domain에 Join하게 할 수 있다.)

 

확인2. - VMware에서 포트그룹을 생성하는 경우, VLAN 을 할당하는 경우는 어떤경우인지 알고있다

- ESXI에 SSH로 접속해 vSwitch 및 포트그룹을 확인할 수 있고, 생성 및 삭제할 수 있다.


실습

Tree안에 2개의 Domain을 구성한다

서울본사, 부산지사

   -> 모든 직원이 하나의 Domain에서 관리하기에는 범위가 큼

   -> 또는 다른 사업분야의 경우

      this.com (부모 도메인) second.this.com(자식도메인) sub domain

 

   -> 부산지사의 사용자가 많은 경우, 서울의 DC(Domain Controller)에 join하기 때문에, 부하 및 성능 문제들로 DC를 분리한다

 

문제1. SECOND에 AD를 설치하고 Domain Controller로 승격시킨다

ip : 192.168.112.20

g/w : 192.168.112.2

DNS : 192.168.111.10

 

승격작업

- 기존 포트리스에 Sub Domain으로 구성한다.

- Root Domain : this.com

- Sub Domain : second

   인증 : administrator@this.com

 

AD 설치 (DNS 같이추가)

도메인 컨트롤러 승격

나머지 뒷부분은 '다음' 클릭 및 설치

 

확인1. FIRST에서 아래와 같이 확인한다

 Active Directory 도메인 및 트러스트 - 2개의 Domain을 확인

   Root Domain : this.com

   Sub Domain : second.this.com

FIRST 에서 확인

문제2. SECOND에서 아래의 사용자를 생성하고, CLIENT2를 부산 DC에 생성한 사용자로 접속한다

   > 기존 this.com에 join을 삭제 후 test 진행

 

1. CLIENT2를 부산DC에 join한다

CLIENT2는 112.x의 네트워크에 속해 있어야 함

2. 부산 사용자를 생성하고, 부산사용자를 CLEINT2의 사용자로 부산 DC에 join한다

ljh@second.this.com 사용자 생성 > second DC에서 생성

SECOND에서 사용자 생성
SECOND에서 만든 사용자로 CLIENT2에서 로그인


Domain Controller

> 일본 지사 Tree를 구성하지 않고, 서울과 동일한 Domain으로 구성한다

   문제점 - 일본지사에 있는 모든 단말이 서울본사 DC의 관리를 받아야 한다

      -> 일본지사에 추가적인 Domain Controller를 구성한다 (일본지사쪽 사용자의 DNS를 일본DC로 잡음)

          문제점 - 일본지사에도 관리자가 필요하다 (AD > 보안)

 

> RODC (Read Only Domain Controller)

   - RODC로 DC를 설정하면 일본지사 사용자는 RODC로 join하여 본사의 DC와 통신이 필요하지 않음

   - 주 DC로부터 데이터를 전송받아 저장후 사용하는 DC (추가하거나, 변경하지 않음)

 

현재상황 
   FIRST Server      = this.com의 DC                                                 >> WIN10(1), pjh@this.com
   SECOND Server  = second.this.com의 DC                                       >> WIN10(2), ljh@second.this.com
   THIRD Server     = this.com의 RODC (일본지사의 사용자를 위한 DC)
 
   서울지사와, 일본지사의 사용자는  ==> xxx@this.com
          (서울지사, 일본지사의 사용자는 동일 domain에 속하여, default로 동일정책을 적용)
   부산지사의 사용자는  ==> xxx@second.this.com
          (부산지사의 사용자는 서울지사와, 일본지사와 다른 domain에 속하여, 다른 정책을 적용할수 있음)


실습 이어서

문제1. THIRD를 RODC로 구성한다 (구성전 반드시 스냅샷)

   1. THIRD의 ip 192.168.111.30, DNS : 192.168.111.10으로 설정'

        확인1. THIRD에서 ping 192.168.111.10으로 통신 확인합니다.

ping 192.168.111.10 성공


   2. THRID에 "Active Directory Domain Service"를 설치합니다.

- 나머지 과정은 '다음' 및 설치

 

3. 설치 후, 이 서버를  Domain Controller로 승격합니다.      
      서버 관리자> AD DS > 자세히 > 이 서버를 도메일 컨트롤러로 > 배포 구성
          기존 Domain에 도메인 컨트롤러를 추가합니다(D)
          도메인(O): this.com
          이 작업을 수행하기 위한 자격 증명을 제공합니다.            (administrator@this.com)


          읽기 전용으로 설정 합니다. (RODC)                              >>>> !!!!!

          위임된 관리자 계정 (Administrators)
          다음에서 복제(F): 모든 도메인 컨트롤러

 

확인1. FIRST에서 추가된 DC를 확인한다

   Active Directory 사용자 및 컴퓨터

   FIRST 경우 GC

   THIRD 경우 읽기전용 DC

 

확인2. 일본사용자는 DNS를 THRID로 설정하여 사용한다

IP 및 DNS서버 설정
도메인 join


서울 본사에서 부산 지사(SECOND), 일본 지사(THIRD)의 Server를 관리

 

문제1. 서울지사 DC (FIRST) 에 다른 DC를 등록

   1. second를 통해 부산지사의 DC를 등록한다

second 등록
third 등록

 

 

확인1. 설정 후 "모든 서버"에서 SECOND DC, THIRD DC가 등록되어 있는 것을 확인

START PErformance Counters 클릭

확인2. SECOND 를 클릭 해, SECOND Server의 설정을 FIRST에서 진행할 수 있다

 

문제2. SEOCND, THIRD를 외부에서 관리가 가능하도록 설정한다. (아래 설정을 SECOND, THIRD에서 각각 설정)

> 원격 설정 허용

   - 시작 - 시스템 - 원격 설정 - 이 컴퓨터에 대한 원격 연결 허용(L)


Domain 사용자 계정 및 조직구성

   계정은 아래들이 있다

     1. 로컬 사용자 계정

     2. 도메인 사용자 계정 (Active Directory에 접근 가능)

        > Active Directory의 조직 (사용자) 구성 단위를 "OU" (Organizational Unit) 라고 한다.

 

OU 만들기 (FIRST 예시)

생성 완료

 

OU 삭제방법 (SECOND 예시)

고급 기능 온
OU의 속성 - Protect object 체크박스 해제

이제 삭제가 가능하다

 

로그온 시간 제한두기 (SECOND 예시)

로그인 금지된 것 확인


1. FIRST Server에 아래와 같은 3개의 OU 구성합니다.
    관리부, 회계부, 기술부

생성 과정은 바로 위 사진들 참고


2. 기술부 OU안에, 다시 기술1팀, 기술2팀의 OU를 구성합니다.


3. 각각의 OU안에 사용자를 설정합니다.
     기술1팀 : 안성기(skann),  기술2팀 : 박중훈 (jhpark)
     관리부   : 서태지(tgseo)
     회계부   : 김장훈(jhkim)

나머지 사용자들도 동일한 과정으로 만들어준다


4. SECOND Server 아래의 OU를 구성하고, 사용자를 생성합니다.
     인사팀 : 이경규 (kklee)

 

SECOND 의 OU 사용자


Active Directory 그룹

AD 그룹 만들기

FIRST 예시

글로벌 그룹

글로벌 그룹 생성 시 this.com 사용자만 참여 가능, 다만 공유폴더 등 자원은 모든 도메인에 위치한 것에 권한 할당 가능

도메인 로컬 그룹 <-> 글로벌 그룹

유니버설은 모두 가능

 

도메인로컬
유니버설

 

공유폴더 생성 및 활용

this.com 폴더 생성
다만 Add 부분에서 사용자 추가 시 다른 서버의 사용자는 가입이 불가능하다 (Global)

 

새 폴더 속성에서의 공유설정. Global이기 때문에 다른 서버의 폴더도 권할할당 할 수 있음

 

즉 정리하자면 아래와 같다

OU가 아닌 그룹을  DC에서 생성한다 

   > 그룹을 생성시에 그룹 범위를 지정한다 (Global, domain local, universal)

   > 생성그룹, 사용자 및 자원을 포함시킨다 (자원은 공유폴더이다)

 

   STEP1. this.com의 domain에 TEST 사용자 "first@this.com"를 생성합니다.
   STEP2. second.this.com의 domain에 TEST사용자 "second@second.this.com"를 생성합니다.
   STEP3. this.com의 DC에 3개의 Group을 생성합니다. "글러벌그룹, 도메인로컬그룹, 유니버설그룹"
                  그룹범위는 그룹이름과 동일하게 지정합니다.
                  (특정 사용자를 TEST를 위하여, 특정 group에 포함하면서 TEST를 진행합니다.)
   STEP4. FIRST Server에  "this.com" 폴더를 생성하고, 공유합니다.
   STEP5. SECOND Server에 "that.com" 폴더를 생성하고, 공유합니다.
                  (공유 폴더에 TEST를 위하여, 특정 group에 접속을 허용하면 TEST를 진행합니다.)  


  ***  TEST1. (글러벌 그룹의 동작 방식을 확인합니다.)
     STEP1. this.com의 사용자인 "first@this.com"을  this.com의 글러벌그룹에 포함합니다. >>> this.com (DC)


     STEP2. second.this.com의 사용자인 "second@second.this.com"을 this.com의 글러벌그룹에 포함합니다. > this.com (DC)
             (포함안됨) >> 글러벌 그룹에는 다른 도메인 사용자가 포함안됨 !!!

다른 서버의 사용자는 가입이 되지 않는다 (Global)


     STEP3. this.com의 공유폴더의 권한  >> 글러벌그룹을 지정합니다.           >>> FIRST Server

폴더 생성 - 속성 - 고급 공유 - 권한 - Add를 통한 Global 설정


     STEP4. second.this.com의 공유폴더의 권한 >> 글러벌그룹을 지정합니다.  >>> SECOND Server

 

이제 WIN10(first@this.com으로 접속합니다.)

        확인1. first사용자의 경우,  (this.com, second.this.com의 공유폴더에 접근이 가능)
                       \\192.168.111.10으로 공유폴더 접속확인
                       \\192.168.112.20으로 공유폴더 접속확인

\\192.168.111.10
this.com 폴더 접속 성공
\\192.168.112.20 의 that.com 폴더에도 접속 성공


        확인2. second 사용자의 경우   그룹에 포함이 되지 않는다.

다른 서버의 사용자는 가입이 되지 않는다 (Global)


        확인3. 글러벌 그룹의 경우, 
                  >> 사용자는 자신의 Domain 사용자만 가입이 가능하다
                  >> 그러나 다른 Domain의 Resource도 접근 가능하다


   ***  TEST2. (도메인 로컬 그룹의 동작 방식을 확인합니다.)  ******
    STEP1. TEST1의 정책을 삭제합니다.
        >> 글러벌그룹에 있는 사용자를 제거합니다. (중복으로 그룹에 속하면, 2개의 정책이 모두 적용됩니다.)    


    STEP2. this.com의 도메인로컬 그룹에, first사용자와, second사용자를 모두 등록합니다.
                   >> 이전 TEST에서는 second 사용자가 등록되지 않음 (하지만, 글러벌 그룹에는 등록됨)

- 사용자 추가 시 location 신경 써줘야함

 

추가 완료

 

    STEP3. FIRST Server, SECOND Server의 공유폴더에 권한을 >> 도메인로컬그룹을 지정합니다. 
                    (이전 권한은 삭제)   >> 지정안됨 !!!

FIRST 서버의 공유폴더
SECOND의 공유폴더 - Global와는 반대로 자원이 공유되지 않음


       확인1. first@this.com의 사용자가 WIN10(1)에 접속하면,   >>> FIRST Server의 공유폴더만 접근이 가능합니다.
                (SECOND Server의 공유폴더는 접근이 안됨)

FIRST Server의 공유폴더만 접근이 가능
SECOND Server의 공유폴더는 접근이 안됨


       확인2. second@second.this.com의 사용자가 WIN10(2)에 접속하면, >>> FIRST Server의 공유폴더 접근이 불가능
                (SECOND Server의 공유폴더는 second 설정해주면 접근 가능)

애초에 this.com의 접근에 second@second.this.com 추가가 불가능했다

=> that.com 폴더는 second@second.this.com 추가가 가능했기에 접속 가능



  *** TEST3. ( 유니버셜 그룹의 동작 방식을 확인합니다.) ****************  
    STEP0. 기존의 도메인로컬 그룹에 있는 사용자를 삭제합니다, 
                   >> first, second를 삭제합니다.


    STEP0. FIRST의 공유폴더의 권한을 "도메인로컬"을 삭제합니다.

    STEP1. first@this.com의 사용자를 유니버셜 그룹에 가입시킵니다.  (FIRST에서 작업)


    STEP2. second@second.this.com의 사용자를 유니버셜 그룹에 가입시킵니다. (FIRST에서 작업)


    STEP3. FIRST자원에 유니버셜  그룹에 (권한)가입합니다.   (FIRST에서 작업)


    STEP3. SECOND자원에 유니버셜 그룹에 (권한)가입합니다. (SECOND에서 작업)


    확인1. FIRST Domain 사용자의 경우,  유니버셜 그룹에 가입되면,  FIRST, SECOND의 모든 허용된 자원 사용가능 
                 >> WIN10(1)에 FIRST로 접속후,  >> \\192.168.111.10,  \\192.168.112.20   (모두접속확인)

192.168.111.10의 폴더 접속 가능
192.168.112.20의 폴더 접속 가능


    확인2. SECOND Domain 사용자의 경우, 유니버셜 그룹에 가입되면,  FIRST, SECOND의 모든 허용된 자원 사용가능
                 >> WIN10(2)에 SECOND로 접속후,  >> \\192.168.111.10,  \\192.168.111.20   (모두접속확인)

192.168.111.10의 폴더 접속 가능
192.168.112.20의 폴더 접속 가능

 

 

 

 

'VMware 실습 > ㄴ Window' 카테고리의 다른 글

5월 18일 (ISE 및 GRE)  (0) 2022.05.18
5월 17일 (ASA, ISE)  (0) 2022.05.17
5월 12일 (Active Directory 실습)  (0) 2022.05.12
5월 11일 (DNS, Email 실습)  (0) 2022.05.11
5월 10일 (DHCP, DNS 실습)  (0) 2022.05.10