AD.Exchange Server 사용 port

출발지

목적지

Protocol

Service Port

Action

용도

적용기간

IP

IP

(TCP/UDP)

사용자 대역 추가

서버 IP

TCP/UDP

53

DNS

DNS 조회

항시적 사용

사용자 대역 추가

서버 IP

UDP

67

DHCP

DHCP 서비스 사용 시

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

88

Kerberos

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

389

LDAP

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

3268

GC

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

135

RPC

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

137

NetBIOS Name resolution

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

UDP

138

NetBIOS datagram service

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

139

NetBIOS session service

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

1024~5000,
49152 ~ 65535

RPC dynamic assignment

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

445

SMB

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

464

Kerberos Password Change

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

25,587

SMTP

Exchange 메일 발송

항시적 사용

사용자 대역 추가

서버 IP

TCP

80, 443

HTTP/HTTPS

Exchange 메일 서버 접속

항시적 사용

 

[문제 사항]
Windows 7 사용자 로그인이 아래과 같이 Temp에서 생성 됨

 
 
[해결방법]
  • 작업을 실행하기 전 PC를 부팅합니다.

  • 시작 > 실행 > Regedit를 입력합니다.

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList로 이동합니다.

  • 아래와 같이 프로파일 중 .bak으로 되어 있는 프로 파일이 확인됩니다.

    *.bak 프로파일을 제거 합니다. 

  • 로그오프 후 다시 로그인 합니다. 

 
  1. 2018.03.22 19:11

    비밀댓글입니다

DC Rename 작업

   

  1. Contoso.com 도메인을 nwtraders.com으로 변경
    1. Domain Server Prepare
    2. ControlStation Prepare
    3. ControlStation Operation
    4. Domain Server Operation

       

Domain 서버 준비 사항

  1. GPO > 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 > 대화형 로그온 : 마지막 사용자 이름 표시 안 함을 사용으로 설정합니다.

  2. 도메인 마스터를 확인 확인

  3. 작업 계정

    Domain Administrator

  4. 포리스트 기능 수준 확인

    Domain Rename을 위해서는 포리스트 기능 수준이 Windows Server 2003 또는 Windows Server 2008 이상이어야 합니다.

  5. Active Directory 도메인 및 트러스트 콘솔을 실행하비다.

  6. Active Directory 도메인 및 트러스트 오른쪽 버튼 클릭 > 포리스트 기능 수준 올리기 선택

  7. 포리스트 기능 수준 올리기 – 사용 가능한 포리스트 기능 수준 선택에서 Windows Server 2008R2 선택 후 수준 올립니다.

  8. DC서버를 Windows Server 백업 > 한 번 백업 마법사를 통해 C 드라이브를 백업합니다.

  9. DNS > 정방향 조회 영역 > 새영역을 추가 합니다.

  10. 다음을 클릭합니다.

  11. 주 영역을 선택합니다.

  12. 두 번째 옵션을 선택합니다.

  13. 영역 이름을 nwtraders.com으로 설정합니다.

  14. 첫 번째 옵션을 선택합니다.

  15. 새 영역 마법사가 완료 되었습니다.

  16. Nwtraders.com 영역이 확인 됩니다.

     

   

   

ControlStation 준비 사항

   

Control Station서버는 DC에 조인된 서버 입니다. 서버는 도메인의 멤버 서버여야하며 Windows Server 2003 이상의 운영체제가 설치되어 있어야 합니다.

*중요 – 절대로 Domain Controller를 control station 서버로 사용하지 마십시오.

   

  1. Control Station 준비

  2. Control Station에서 기능을 추가합니다.
  3. 원격 서버 관리 도구 > 역할 관리 도구 > AD DS 및 AD LDS도구 >AD DS 도구 > AD DS 스냅인 및 명령줄 도구 선택
    원격 서버 관리 도구 > 역할 관리 도구 > AD DS 및 AD LDS도구 > 파일 서비스 도구 > 분산 파일 시스템 도구 선택

  4. 설치를 클릭합니다.

  5. 설치가 완료 되었습니다.

     

       

       

   

Control Station 작업

   

[Freeze the Forest Configuration]

도메인 Rename 작업 동안에 도메인에 변경 작업이 발생하면 안되므로, 도메인 Rename 작업을 진행하기 전에 아래의 작업들은 중지해야 합니다.

•   AD에서 새로운 도메인을 만들거나 또는 Forest에서 기존 도메인을 제거하면 안됩니다.

•   AD에서 새로운 디렉터리를 만들거나 삭제하면 안됩니다.

•   AD에서 새로운 DC를 추가하거나 삭제하면 안됩니다.

•   AD에서 바로가기 트러스트를 만들거나 제거하면 안됩니다.

•   AD애서 global catalog의 특성을 변경하거나 제거하면 안됩니다.

   

  1. ControlStation에 로그인 합니다.
  2. CMD를 관리자 권한으로 실행합니다.

  3. C:\Windows\System32 폴더로 이동하여 Rendom.exe /list 명령 수행

  4. C:\Windows\System32 폴더에 Domainlist.xml 파일이 생성되었습니다. 나중을 위해 해당 파일을 복사해서 다른 위치에 저장해 두십시오

  5. 아래 내용 중 Contoso.com을 찾아 Nwtraders.com으로 변경합니다.

  6. 4군데 domain 명을 아래과 같이 변경합니다.

  7. 파일을 저장합니다.

  8. cmd에서 rendom /showforest 명령 수행

  9. rendom /upload 명령을 수행하여 새로운 도메인 이름을 Domain Naming Master로 업로드 합니다

  10. DcList가 생성되었는지 확인합니다.

  11. State가 Initial로 나타납니다.

  12. DNSRecords를 확인합니다.

  13. 아래와 같이 nwtraders.com으로 변경되었습니다.

  14. Dsquery server –hasfsmo name명령을 입력합니다.

  15. cmd에서 repadmin/syncall /d /e /P /q DomainNamingMaster 를 수행합니다.(대소문자 구분합니다.)

  16. cmd에서 Rendom.exe /prepare를 실행합니다

  17. DcList를 열어 State가 Prepared로 되었는지 확인합니다.

  18. cmd에서 Rendom.exe /execute를 실행합니다

  19. 메모장에서 DcList.xml을 열어서 <State>가 Done으로 변경되었는지 확인해봅니다.

  20. DC가 자동으로 재 부팅 됩니다.

  21. 도메인이 nwtraders로 확인 됩니다..

  22. DNS에 nwtraders.com 도메인 _msdcs, _site, _TCP, _UDP, DomainDnsZone, ForestDnsZones 가 생성될 때 까지 기다립니다,.

  23. ControlStation을 재부팅 합니다.
  24. Control Serve에서 아래와 같이 명령을 입력합니다

   

   

Domain 서버 작업

   

  1. DC서버에 로그인 하면 아래와 같이 nwtrader.com의 데이터가 dc01.contoso.com으로 표시되는 것을 확인할 수 있습니다.

  2. 컴퓨터 속성 > 설정 변경을 클릭합니다.

  3. 변경을 클릭합니다.

  4. 확인을 클릭합니다.

  5. 자세히를 클릭합니다.

  6. 주 DNS 접미사가 contoso.com으로 표시되어 있습니다.

  7. DNS접미사를 nwtraders.com으로 변경합니다.

  8. DC를 다시 시작합니다.
  9. 재 부팅 후 아래와 같이 변경 된 것을 확인할 수 있습니다.

  10. DNS에서도 아래와 같이 dc01.nwtraders.com으로 변경됨을 확인할 수 있습니다.

  11. 사용자 PC도 아래와 같이 한번의 재부팅으로 변경이 됩니다.

  12. 바탕화면도 그대로 이전 됩니다.

  13. DC에서 그룹정책을 실행하면 아래와 같이 오류가 발생합니다.

  14. Domain 이 Rename 된 후 그룹 정책 편집기를 실행해보면 오류가 발생합니다. 해당 오류를 수정하기 위해 cmd에서 아래의 명령을 수행합니다.

    gpfixup /olddns:fabricam.com /newdns:nwtraders.com /oldnb:fabricam /newnb:nwtraders /dc:ldh2008dc01 2>&1 >gpfixup.log

  15. Gpfixup.log를 아래와 같이 확인할 수 있습니다.

  16. 그룹 정책 관리가 정상적으로 실행 됩니다.

  17. 이벤트 뷰어 > 오류 1006 group policy가 1502로 변경 되었습니다.

     

       

       

       

       

       

  1. 2018.05.14 16:14

    비밀댓글입니다

Windows Server 2008 R2 사용자 계정이 모두 로그온에 나타나지 않도록 설정을

   

  1. 시작 > 관리도구 > 로컬보안정책을 클릭합니다.

  2. 보안 정책 > 로컬 정책 > 보안 옵션 > 대화형 로그온 : 마지막 사용자 이름 표시 안 함을 클릭합니다.

  3. 로컬 보안 설정을 사용으로 체크합니다.

  4. 시스템을 재 부팅하거나 로그아웃 합니다.

   

[Backup]

  1. DNS관리 콘솔 실행 (시작실행 dnsmgmt.msc)
  2. 도메인 > 속성 클릭

  3. Contoso.com 속성 > 변경 클릭

  4. 영역 형식 변경 Active Directory에 영역 저장 Uncheck

       

  5. 4번 작업에서 Uncheck를 하면 C:\windows\system32\dns 폴더에 도메인 명으로 파일이 생성됨

[Restore]

  1. 새 영역 마법사 생성시 Active Directory 영역저장 Uncheck

       

  2. 영역 이름 설정

       

  3.  C:\Windows\System32\Dns 폴더에 복사된 contoso.com 파일을 설정

       

    TIP

  4. cmd창에서 DNS 백업 (Dnscmd 명령어로 다른 작업도 수행 가능함)

도메인 내에서 사용하는 두 가지 중요한 보안 원칙은 인증(Authentication)과 권한(Authorization) 부여에서 시작됩니다. 인증은 사용자를 식별하는데 사용되며 권한부여는 사용자 접근을 제어하는데 사용됩니다.

   

예를 들어 Joe에게 도메인 계정을 부여한다면 Joe는 인증을 사용하여 도메인 계정으로 로그온 할 수 있습니다. 그러나 Joe가 도메인에 로그인 할 수 있기 때문에 도메인에 있는 모든 리소스를 사용할 수 있는 것을 아닙니다.

대신 그의 계정에는 특정 리소스에 대한 접근권한을 바탕으로 그가 필요로 하는 정보에 접근할 수 있는 권한이 부여되게 됩니다.

   

[인증 (Authentication)]
인증은 사용자의 신원을 증명하는데 사용됩니다. 일반적으로 인증에는 세 가지 요소가 있습니다.

  • 알고 있는 정보

    사용자의 이름과 암호를 도메인 사용자의 계정으로 구현할 수 있습니다. 사용자가 그들의 이름과 암호를 아는 도메인 인증을 사용할 수 있습니다.

  • 가지고 있는 정보

    스마트카드의 사용은 점점 더 증가하고 있습니다. 스마트카드는 신용카드 사이즈로 리더기에서 인식됩니다. 사용자는 카드를 리더기에 넣고 사용자 식별번호(PIN)를 이용해 인증을 받게 되고 도메인 내에서 스마트카드를 도메인 사용자 계정과 연동할 수 있습니다.

  • 지니고 있는 정보

    생체 인식을 통해 사용자의 신원을 증명할 수 있습니다. 사용자는 자신의 손가락을 리더기에 인식하는 과정을 통해 인증을 받게 됩니다. 생체 인식의 다른 방법으로는 망막, 핸드 스캐너가 포함됩니다.

다중인증 방식은 위에서 언급한 인증요소를 하나 이상 사용합니다. 예를 들면 PIN번호와 스마트카드를 함께 사용하는 경우 이 방식에 포함됩니다.

   

   

[권한 (Authorization)]

인증된 사용자 계정에 따라 허가와 인증이 부여됩니다. 사용자가 로컬 관리자 계정으로 로그온 하는 경우 그들은 제한된 권한 만큼의 리소스와 접근만을 사용할 수 있습니다.

권리(Permission)와 권한(Authorization)은 다른 방식으로 동작합니다. 그러나 종종 함께 사용되는 경우가 있습니다. 권리(Permission)는 사용자가 시스템에서 어떠한 것을 할 수 있는지를 확인하고 권한(Authorization)은 사용자가 액세스 할 수 있는 리소스를 식별해 줍니다.

아래 그림은 로컬 보안 정책에서 사용자 권한(Authorization)을 할당하는 페이지를 보여줍니다. 이것은 로컬로 로그 파일과 디렉터리를 백업하고, 시스템 시간을 변경하는 등 사용자가 시스템에서 수행할 수 있는 권한설정 작업을 보여줍니다.

   

   

[Built-in 그룹]

권리(Permission)와 권한(Authorization)을 개별 사용자 계정에 할당할 수 있지만 일반적으로 그룹에 더 많이 할당하게 됩니다. 사용자가 그룹의 구성원일 때 그룹에 권리(Permission)와 권한(Authorization)을 부여하는 경우 이러한 권리(Permission)와 권한(Authorization)은 사용자에게 상속됩니다.

Windows 7과 Windows 도메인은 모두 그룹을 포함하고 있습니다. 아래 그림은 로컬 시스템에서의 그룹과 도메인에 있는 그룹 설정을 보여줍니다. 각각의 그룹은 시스템과 도메인에서의 동작을 수행하기 위한 구체적인 권리(Permission)와 권한(Authorization)이 포함되어 있습니다.

   

관리 도구 메뉴를 통하거나 내 컴퓨터 아이콘의 오른쪽 마우스를 클릭하여 로컬 시스템 그룹을 확인할 수 있습니다. 또한 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터 콘솔을 통해 그룹에 포함된 도메인 확인 할 수 있습니다.

Built-in 그룹은 아래와 같은 그룹으로 구성되어 있습니다.

  • Administrator (로컬)

    로컬 컴퓨터에서 Administrators 그룹 (Windows 7의 컴퓨터 포함)은 로컬 컴퓨터에 대해 모든 권한을 가집니다. 로컬 administrator 계정은 이 그룹의 구성원이며 Windows 7이 처음 설치 될 때 생성됩니다.

  • Administrators (도메인)

    도메인 관리자 그룹의 구성원은 도메인에 있는 컴퓨터를 이용할 수 있습니다. 도메인의 administrator 계정, Domain Admins 그룹, Enterprise Admins 그룹은 기본적으로 도메인 administrators 그룹의 구성원입니다.

  • Domain Admins

    Domain Admins 그룹의 사용자는 도메인에서 모든 권한을 가집니다. Domain Admins 그룹은 로컬 컴퓨터가 도메인에 가입될 때 자동으로 로컬 컴퓨터의 administrators 그룹에 추가됩니다. 또한 이 그룹은 도메인의 Administrators 그룹에 추가됩니다.

  • Enterprise Admins

    Enterprise Admins 그룹의 사용자는 포리스트에서 모든 권한을 가집니다. 포리스트는 하나 이상의 도메인으로 구성되어 있으며, 이 그룹의 사용자는 포리스트의 모든 도메인에 대한 추가, 제거, 관리 권한을 가집니다. Enterprise Admins 그룹은 포리스트의 모든 도메인의 도메인 Administrators 그룹 구성원입니다.

  • Power User

    Power User는 이전 버전과의 호환성을 위해 추가된 로컬 그룹입니다. 이 그룹은 기존 운영 체제에서 사용자를 Administrators 그룹에 추가하지 않고 사용자 추가 권한을 부여하기 위해 사용됩니다.

  • Server Operator

    도메인 컨트롤러에만 있는 특별한 그룹입니다. Server Operator 그룹은 도메인 수준에서 특별한 권한을 부여하지 않고 도메인 컨트롤러를 관리할 수 있는 권한이 부여됩니다.

  • Backup Operator

    이 그룹에는 백업과 복구를 수행할 권한이 부여됩니다.

   

   

[사용자를 그룹으로 조직화]

특별한 요구 사항을 만족하는 그룹을 생성할 수 있습니다. 드물기는 하지만 Windows 7과 같은 로컬 환경에서 그룹을 생성하기도 하며 일반적으로 도메인 환경에서 이러한 그룹을 생성하고 관리합니다.

예를 들면 Sally, Bob, Alice는 영업부서(G_Sales)에 속해 있습니다. G_Sales라는 그룹을 생성하여 각 사용자 계정을 G_Sales 그룹에 할당합니다. 이제 각각의 사용자들은 FS1의 SalesData 공유폴더에 접근할 수 있습니다.

 

개별 계정에 권한을 부여하는 대신 그룹에 권한을 부여하게 됩니다. 사용자가 그룹의 구성원이기 때문에 그룹에 할당된 권한과 동일한 권한을 가지게 됩니다.

그룹을 만들어서 관리하게 되면 초기에 그룹에 대한 계획과 디자인을 해야 하지만 장기적인 관점으로 보았을 때 개별 사용자에게 권한을 부여하지 않고 그룹에 권한을 할당함으로써 작업에 대한 부담과 시간을 절약할 수 있습니다.

사용자가 한 명인 그룹이라고 하더라도 이렇게 작업하는 것이 유리합니다. 예를 들어 HR부서에 직원이 Sam 한명일 경우 Sam계정에 권한을 할당하는 것 보다 HR부서에 권한을 할당하는 것이 더 좋습니다. 이렇게 함으로써 Sam이 퇴사하거나 승진하는 경우에도 HR부서에 대한 권한을 따로 할당할 필요가 없기 때문입니다.

   

   

[그룹 범위(Group Scope)와 그룹 종류(Group Type)]

도메인에서 만든 그룹에는 그룹 범위(scope)와 그룹 종류(Type)가 있습니다. Active Directory 사용자 및 컴퓨터에서 그룹을 만들 수 있습니다.

   

그룹 범위는 아래 3가지 종류가 있습니다.

  • 도메인 로컬(Domain Local)

    도메인 로컬 그룹은 간혹 규모가 큰 도메인의 관리 모델로 사용되지만 일반적으로 도메인 로컬 그룹은 특정한 리소스에 할당된 권한(permission)을 정의하기 위해 사용됩니다. 예를 들어 DL_Print_ClrLaserPrinter 그룹이라는 도메인 로컬 그룹에 컬러 레이저 프린터에 대한 권한을 할당할 수 있습니다. 도메인 로컬 그룹은 일반적으로 하나 이상의 글로벌 그룹을 포함하고 있으며, 유니버설 그룹을 포함할 수도 있습니다.

  • 글로벌(Global)

    Global 그룹은 일반적으로 사용자를 조직화하기 위해 사용됩니다. 예를 들어 G_Sales 라는 글로벌 그룹에 영업 부서의 모든 사용자를 구성원을 추가할 수 있습니다. 글로벌 그룹은 다른 글로벌 그룹을 구성원으로 포함할 수 있습니다.

  • 유니버설(Universal)

    유니버설 그룹은 다중 도메인 환경에서 사용됩니다. 유니버설 그룹은 도메인의 다른 글로벌 그룹을 포함할 수 있으며, 포리스트의 모든 도메인에 있는 도메인 로컬 그룹의 구성원이 될 수 있습니다.

   

일반적으로 사용되는 명명 규칙은 그룹 범위와 그룹 이름으로 시작하는 것입니다. 예를 들어 글로벌 그룹을 생성하는 경우 "G-"라는 접두사를 사용할 수 있으며 이러한 접두사 뒤에 그룹을 식별할 수 있는 용어("Sales")를 추가할 수 있습니다. 접두사와 실제 그룹 사이에 적절한 구분자를 구성하는 것이 향후 검색과 관리에 유리합니다.

   

그룹 종류는 아래 2가지가 있습니다.

  • 배포(Distribution)

    배포 그룹은 일반적으로 메일 그룹으로만 사용됩니다. 이 그룹에는 권한(permission)을 할당할 수 없습니다.

  • 보안(Security)

    보안 그룹은 권한을 할당하거나 메일 그룹으로 사용할 수 있습니다.

   

글로벌 및 도메인 로컬 그룹을 사용하는 도메인에서는 A-G-DL-P로 알려진 일반적인 전략이 사용됩니다.

   

A-G-DL-P 전략를 사용하는 경우 계정(A)은 글로벌 그룹(G)에 추가 됩니다. 글로벌 그룹은 도메인 로컬(DL)그룹에 추가되고 권한(P)는 도메인 로컬 그룹에 할당됩니다.

위 그림에서 화살표 방향으로 그룹을 추가할 수 있습니다. 계정(A)은 내려가는 화살표를 따라 글로벌 그룹이나 도메인 로컬 그룹에 추가할 수 있으나 화살표 반대 방향인 글로벌 그룹(G)은 계정(A)에는 추가할 수 없습니다. 도메인 로컬(DL) 역시 글로벌 그룹(G)에 추가할 수 없습니다.

사용 권한은 올라가는 화살표를 따라갑니다. 권한이 계정이나 그룹에 직접 할당할 수 있지만 그룹에 권한을 할당하는 것이 매우 권장됩니다. 만약 사용자에게 직접 권한을 할당하게 된다면 관리는 매우 어려워 지게 됩니다.

도메인 로컬 그룹을 사용하게 되면 관리자는 리소스를 중심으로 권한을 쉽게 관리할 수 있게 됩니다. 대부분의 조직에서는 단순히 A-G-P 전략을 사용할 수 있으나 효과적인 관리를 위해서는 A-G-DL-P 전략을 사용하는 것이 좋습니다.

   

[예제]

아래와 같은 환경에서 A-G-DL-P 전략을 사용하여 권한을 부여해 보도록 하겠습니다.

 

  • A-G-DL-P를 아래와 같이 구성합니다.
    • DL-자료실-읽기 (Domain Local - Security)
    • DL-자료실-읽기/쓰기 (Domain Local -Security)
    • G-기업고객사업부 (Global - Security)에 구성원 유기승, 김두호를 할당합니다.
    • G-컨설팅사업부 (Global - Security)에 구성원 전은희, 이희경을 할당합니다.
    • 공유폴더에 DL 권한을 할당합니다.

         

  • 소프트비젼그룹에 Global 그룹을 생성합니다.

       

  • Sales 그룹을 생성합니다.

    그룹이름 : G-Sales / 글로벌 / 보안으로 설정합니다.

     

  • G-Sales 그룹에 유기승, 김두호를 구성원으로 추가합니다.

     

  • G-Sales 그룹에 유기승, 김두호가 추가 되었습니다.

     

  • Consulting 그룹을 생성합니다.

    그룹이름 : G-Consulting / 글로벌 / 보안으로 설정합니다.

     

  • G-Consulting 그룹에 전은희, 이희경을 추가합니다.

     

  • G-Consulting 그룹에 전은희, 이희경이 추가 되었습니다.

     

  • 소프트비젼그룹에 Domain Local (DL)그룹을 생성합니다.

       

  • 공유폴더에 읽기만가 가능한 그룹을 생성합니다.

    그룹이름 : DL-ShareFolder-RO / 도메인 로컬 / 보안으로 설정합니다.

     

  • 공유폴더에 읽기/쓰기가 가능한 그룹을 생성합니다.

    그룹이름 : DL-ShareFolder-RW / 도메인 로컬 / 보안으로 설정합니다.

     

  • 총 4개의 그룹이 생성 되었습니다.

       

  • DL-ShareFolder-RO 그룹에 G-Consulting 그룹을 추가합니다.

     

  • 같은 방법으로 DL-ShareFolder-RW그룹에 G-Sales 그룹을 추가합니다.

     

  • 공유폴더를 만듭니다.

     

  • 속성 > 보안 탭에서 편집을 클릭합니다.

     

  • DL-ShareFolder-RO를 추가한 후 읽기 권한을 할당합니다.

     

  • 같은 방법으로 DL-ShareFolder-RW를 추가한 후 읽기, 쓰기 권한을 할당합니다.

     

  • ShareFolder에 접근 권한입니다.

    G-Sales 유기승, 김두호 읽기 쓰기 가능

    G-Consulting 전은희, 이희경 읽기만 가능

  • 공유폴더의 권한 정의
    • 아래 그림과 같이 User가 FileServer의 "Root\A\1.txt" 파일에 접근할 때에는 A폴더에 접근 가능한 계정과 패스워드를 입력해야 합니다. (Workgroup환경)

         

    • A폴더의 공유 권한은 "김두호 : 읽기/쓰기", "유기승 : 읽기" 입니다. B폴더의 공유권한은 "김두호 : 읽기", "유기승 : 읽기" 입니다. 1.txt파일을 B폴더로 복사(copy)한다면 1.txt파일에 대한 "김두호"님의 권한도 읽기로 설정됩니다. 파일을 복사할 경우 복사되는 대상 폴더의 권한을 상속받기 때문입니다.

       

    • A폴더의 공유 권한은 "김두호 : 읽기/쓰기", "유기승 : 읽기" 입니다. B폴더의 공유권한은 "김두호 : 읽기", "유기승 : 읽기" 입니다. 1.txt파일을 B폴더로 이동(Move)한다면 1.txt파일에 대한 "김두호"님의 권한은 여전히 읽기, 쓰기로 설정됩니다. 동일 파티션에서 파일을 이동할 경우 원래 파일의 권한이 그대로 적용됩니다. 즉 이동되는 대상 폴더의 권한을 상속받지 않습니다.

         

       

    • 기술지원팀에 "김두호", "유기승"님이 포함되어 있습니다. A폴더의 공유 권한은 "기술지원팀 : 읽기/쓰기", "김두호 : 일기/쓰기", "유기승 : 읽기" 입니다. 이 경우 유기승님의 공유권한은 읽기/쓰기가 됩니다. 권한은 그룹에 적용된 권한과 사용자의 권한이 함께 적용됩니다.

         

    • 기술지원팀에 "김두호", "유기승"님이 포함되어 있습니다. 기술지원팀의 "김두호:님은 읽기 거부권한을 가지고 있습니다. A폴더의 공유 권한은 "기술지원팀 : 읽기/쓰기", "김두호 : 일기/쓰기", "유기승 : 읽기" 입니다. 이 경우 A폴더에 대한 모든 권한은 읽기거부가 됩니다. 거부권한은 모든 권한에 우선하기 때문입니다.

       

    • 공유폴더 A에 대해 "김두호"님이 네트워크 드라이브로 접근을 시도하게 되면 "김두호"님은 읽기 권한을 가지게 됩니다. 기본적으로 공유 권한과 보안 권한은 두 권한 중 적은 권한이 적용됩니다.

         

    • 공유폴더 A에 대해 "김두호"님이 로컬 로그온으로 액세스하게 되면 "김두호"님은 읽기/쓰기 권한을 가지게 됩니다. 로컬로 로그온할 경우 공유 권한은 적용되지 않습니다.

         

  • 이상적인 권한 설정 방법
    • AD 환경이 아닌 경우 공유폴더마다 아래와 같이 일일이 사용자 권한을 입력해야 합니다.

      파일 또는 폴더에 아래와 같은 사용자들이 입력되면 성능에 문제가 있을 뿐더러 추가 사용자 또는 사용자의 부서가 바뀔 경우 권한에 대한 관리의 어려움이 생기게 됩니다.

폴더명

공유권한

보안권한

A

User1 R/W

User2 R

User3 R/W

User4 R

User5 R/w

.

.

.

User1 R

User2 R

User3 R

User4 R

User5 R

   

.

.

   

  • 아래와 같이 공유 권한을 인증된 사용자로 주고 보안권한만 식별하게 된다면 파일 및 폴더에 공유에 대한 성능 문제는 해결이 됩니다. 그러나 여전히 관리의 문제가 남게 됩니다.

폴더명

공유권한

보안권한

A

인증된 사용자.

.

.

.

User1 R/W

User2 R

User3 R/W

User4 R

User5 R

.

.

.

   

  • 보안의 기본은 필요한 최소의 권한을 부여해야 한다는 것입니다.

    아래와 같이 AD에서 권한별 그룹을 만듭니다. Group1 읽기/쓰기, Group2 읽기, Group3 모든 권한, 권한별 그룹에 사용자들을 포함하면 성능의 문제 및 관리의 문제가 쉽게 해결 됩니다. 혹 사용자 이동이 있을지라도 AD Group에서만 이동하면 됩니다.

폴더명

공유권한

보안권한

A

인증된 사용자.

.

.

.

Group1 (R/W)

Group2 (R).

Group3 (All

Permission)

   

.

 

   

삭제된 Active Directory 개체 복원

업데이트 날짜: 2009 1

적용 대상: Windows Server 2008 R2

단계에서는 Active Directory 휴지통을 사용하여 다음 작업을 완료하는 지침을 제공합니다.

         삭제된 개체 컨테이너 표시

         Ldp.exe 사용하여 삭제된 Active Directory 개체 복원

         Get-ADObject Restore-ADObject cmdlet 사용하여 삭제된 Active Directory 개체 복원

         삭제된 여러 Active Directory 개체 복원

   

[삭제된 개체 컨테이너 표시]

Active Directory 개체는 삭제되면 삭제된 개체 컨테이너에 배치됩니다. 기본적으로 CN=Deleted Objects 컨테이너는 표시되지 않으며, 삭제된 개체 컨테이너를 표시하려면 AD DS(Active Directory 도메인 서비스) Ldp.exe 관리 도구를 사용해야 합니다.

절차를 수행하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. http://go.microsoft.com/fwlink/?LinkId=83477에서 적절한 계정 그룹 구성원 자격 이용에 관한 자세한 내용을 검토하십시오.

[삭제된 개체 컨테이너를 표시하려면]

         Ldp.exe 열려면 시작, 실행 차례로 클릭한 다음 ldp.exe 입력합니다.

         옵션 메뉴에서 컨트롤 클릭합니다.

3.       컨트롤 대화 상자에서 미리 정의된 컨트롤 로드 풀다운 메뉴를 확장하고 Return deleted objects 클릭한 다음 확인 클릭합니다.

4.       삭제된 개체 컨테이너가 표시되는지 확인하려면 다음을 수행합니다.

1.       AD DS 환경의 포리스트 루트 도메인을 호스팅하는 서버에 연결하고 바인딩하려면 연결에서 연결 클릭한 다음 바인딩 클릭합니다.

2.       보기, 트리 차례로 클릭하고 BaseDN에서 DC=< 도메인>,DC=<com> 입력합니다. 여기서 < 도메인> <com> 사용자 AD DS 환경의 해당 포리스트 루트 도메인 이름을 나타냅니다.

3.       콘솔 트리에서 루트 DN(고유 이름) 클릭하고 CN=Deleted Objects, DC=< 도메인>,DC=<com> 컨테이너를 찾습니다. 여기서 < 도메인> <com> 사용자 AD DS 환경의 해당 포리스트 루트 도메인 이름을 나타냅니다.

   

[Ldp.exe 사용하여 삭제된 Active Directory 개체 복원]

Ldp.exe 사용하여 삭제된 단일 Active Directory 개체를 복원할 있습니다.

절차를 수행하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. http://go.microsoft.com/fwlink/?LinkId=83477에서 적절한 계정 그룹 구성원 자격 이용에 관한 자세한 내용을 검토하십시오.

Ldp.exe 사용하여 삭제된 Active Directory 개체를 복원하려면

1.       Ldp.exe 열려면 시작, 실행 차례로 클릭한 다음 ldp.exe 입력합니다.

2.       AD DS 환경의 포리스트 루트 도메인을 호스팅하는 서버에 연결하고 바인딩하려면 연결에서 연결 클릭한 다음 바인딩 클릭합니다.

3.       콘솔 트리에서 CN=Deleted Objects 컨테이너로 이동합니다.

4.       복원하려는 삭제된 Active Directory 개체를 찾아 마우스 오른쪽 단추로 클릭하고 수정 클릭합니다.

5.       수정 대화 상자에서 다음을 수행합니다.

1.       항목 편집 특성 isDeleted 입력합니다.

2.       상자를 비워 둡니다.

3.       작업에서 삭제, 입력 차례로 클릭합니다.

4.       항목 편집 특성 distinguishedName 입력합니다.

5.       Active Directory 개체의 원래 DN(고유이름) 입력합니다.

6.       작업에서 바꾸기 클릭합니다.

7.       확장 확인란이 선택되어 있는지 확인하고 입력, 실행 차례로 클릭합니다.

   

   

참고

연결된 특성이 있는 Active Directory 개체를 삭제 또는 복구하는 경우 연결된 특성의 값에 대한 참조 무결성을 유지하기 위해 AD DS에서 개체의 연결된 테이블을 처리해야 합니다. Active Directory 개체를 삭제하거나 복구하면 개체의 연결된 테이블이 수정되므로 연결된 테이블 처리가 진행 중인 동안 개체를 삭제하거나 복구하려고 경우 작업이 차단됩니다. 예를 들어 수백만 명의 사용자가 있는 그룹 개체와 같이 연결된 특성이 많은 개체를 삭제한 바로 Active Directory 휴지통을 사용하여 복구하는 경우 또는 연결 테이블을 처리하는 내내 개체 복구가 차단됩니다. Ldp.exe 사용하여 복구하는 경우 "오류 0x2093. 개체를 삭제 중이기 때문에 작업을 계속할 없습니다."라는 오류 메시지가 나타날 있습니다.

   

[Get-ADObject Restore-ADObject cmdlet 사용하여 삭제된 Active Directory 개체 복원]

   

Get-ADObject Restore-ADObject Windows PowerShell Active Directory 모듈 cmdlet 사용하여 삭제된 Active Directory 개체를 복원할 있습니다. Get-ADObject cmdlet 사용하여 삭제된 개체를 검색한 다음 파이프라인을 통해 해당 개체를 Restore-ADObject cmdlet 전달하는 것이 좋습니다.

   

Get-ADObject Restore-ADObject cmdlet 사용하여 삭제된 단일 Active Directory 개체를 복원하려면

1.       시작, 관리 도구 차례로 클릭한 다음 Windows PowerShell Active Directory 모듈 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행 클릭합니다.

2.       Active Directory module for Windows PowerShell 명령 프롬프트에 다음 명령을 입력한 Enter 키를 누릅니다.

Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-ADObject

예를 들어 표시 이름이 Mary이고 실수로 삭제된 사용자 개체를 복원하려는 경우 다음 명령을 입력한 Enter 키를 누릅니다.

Get-ADObject -Filter {displayName -eq "Mary"} -IncludeDeletedObjects | Restore-ADObject

Get-ADObject Restore-ADObject cmdlet 대한 자세한 내용을 보려면 Active Directory module for Windows PowerShell 명령 프롬프트에 Get-Help Get-ADObject 또는 Get-Help Restore-ADObject 입력하고 Enter 키를 누릅니다.

   

삭제된 여러 Active Directory 개체 복원

다음과 같은 경우를 고려할 있습니다. Contoso.com 관리자가 중첩된 OU(조직 구성 단위) 실수로 삭제했는데 OU 이름은 Finance_Department이고 재무 부서 직원의 사용자 계정을 포함하고 있습니다. 그런 다음 관리자가 다른 OU 삭제했고, OU 이름은 Admins이며 재무 부서 산하 행정 비서의 사용자 계정을 포함하고 있습니다. Brian Mary Finance_Department OU 사용자 계정이고 Tom Admins OU 사용자 계정이라 다음 그림은 Finance_Department OU 보여 줍니다.

Finance_Department OU 삭제되면 해당 모든 개체, 5개의 개체가 삭제된 개체 컨테이너로 이동하고 개체의 고유 이름이 알아보지 못하도록 변경됩니다. 삭제된 개체 컨테이너에는 논리적으로 삭제된 모든 개체가 단일 계층 구조의 직계 자식으로 표시됩니다. 중첩된 OU 원래 상태로 복원하려면 Get-ADObject Active Directory 모듈 cmdlet 사용하여 번에 계층 수준씩 삭제된 개체를 검색한 파이프라인을 통해 해당 개체를 Restore-ADObject cmdlet 전달하는 것이 좋습니다. 관리자가 Finance_Department OU 원래 계층 구조를 모르는 경우 먼저 Get-ADOBject cmdlet 사용하여 여러 단계의 조사를 거쳐야 합니다.

         예를 들어 관리자는 다음과 같이 ldapFilter 매개 변수에 msDS-lastKnownRDN 특성을 사용하고 Mary lastKnownParent 특성이 반환되도록 명령을 작성하여 Get-ADOBject cmdlet으로 사용자 계정 Mary 검색하기로 결정합니다.

   

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -ldapFilter:"(msDs-lastKnownRDN=Mary)" IncludeDeletedObjects Properties lastKnownParent

   

관리자는 Get-ADObject cmdlet 사용하여 반환된 출력을 통해 Mary lastKnownParent 값이 Finance_Department임을 확인합니다. 또한 Finance_Department OU 고유 이름이 알아보지 못하도록 변경되었으며 이는 Finance_Department OU 개체 자체가 삭제되었다는 것을 의미합니다. 예를 들어 알아보지 못하도록 변경된 고유 이름은 OU=Finance_Department\0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a,CN=Deleted Objects,DC=contoso,DC=com 같습니다.

         따라서 관리자는 다음 명령을 사용하여 삭제된 개체 컨테이너에서 lastKnownParent 값이 Finance_Department 모든 개체를 검색하기로 합니다.

   

Get-ADObject SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq 'OU=Finance_Department\\0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a,CN=Deleted Objects,DC=contoso,DC=com'} -IncludeDeletedObjects -Properties lastKnownParent | ft

참고

Get-ADObject cmdlet 알아보지 못하도록 변경된 고유 이름을 사용할 때는 백슬래시(\) 하나 사용하여 백슬래시(\) 이스케이프해야 합니다.

관리자는 Get-ADObject cmdlet 사용하여 반환된 출력을 통해 Admins OU 자체임을 확인합니다.

         관리자는 또한 다음 명령을 사용하여 lastKnownParent 특성이 Admins 삭제된 모든 개체를 검색합니다.

   

Get-ADObject SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq 'OU=Admins\\0ADEL:6b405c87-027c-4135-95af-36c31002be5a,CN=Deleted Objects,DC=contoso,DC=com'} -IncludeDeletedObjects -Properties lastKnownParent | ft

참고

Get-ADObject cmdlet 알아보지 못하도록 변경된 고유 이름을 사용할 때는 백슬래시(\) 하나 사용하여 백슬래시(\) 이스케이프해야 합니다.

관리자는 Get-ADObject cmdlet 사용하여 반환된 출력을 통해 사용자 계정이 Tom임을 확인합니다.

         Windows Server 2008 R2에서는 삭제된 중첩된 개체를 계층 구조의 최상위 수준부터 활성 부모로 복원해야 합니다. 따라서 Finance_Department OU 개체를 먼저 복원해야 합니다. 앞선 조사 단계에서 사용한 lastKnownParent 특성은 개체의 직계 부모만 가리키고 다음 부모 개체도 삭제되었는지 여부는 나타내지 않기 때문에 관리자는 다음 명령을 실행하여 Finance_Department lastKnownParent 값이 실제로 활성 OU인지 확인해 있습니다.

   

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -ldapFilter:"(msDs-lastKnownRDN=Finance_Department)" IncludeDeletedObjects Properties lastKnownParent

   

이로써 관리자는 조사를 마치고 Finance_Department OU 원래 계층 구조 상태로 복원할 준비가 되었습니다.

   

   

중요

삭제된 개체를 활성 부모로 복원해야 하기 때문에 계층 구조 최상위 수준부터 개체를 복원하는 것이 중요합니다.

관리자는 Finance_Department OU 복원하기 위해 다음 절차를 수행할 있습니다.

Finance_Department OU 복원하려면

         시작, 관리 도구 차례로 클릭한 다음 Windows PowerShell Active Directory 모듈 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행 클릭합니다.

         Windows PowerShell Active Directory 모듈 프롬프트에서 다음 명령을 실행하여 Finance_Department OU 복원합니다.

Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=Finance_Department)" IncludeDeletedObjects | Restore-ADObject

3.       Windows PowerShell Active Directory 모듈 프롬프트에서 다음 명령을 실행하여 사용자 계정 Brian Mary Admins OU(위의 단계에서 OU=Finance_Department,DC=contoso,DC=com으로 고유 이름이 복원된 Finance_Department OU 직계 자식) 복원합니다.

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Finance_Department,DC=contoso,DC=com"} -IncludeDeletedObjects | Restore-ADObject

4.       Windows PowerShell Active Directory 모듈 프롬프트에서 다음 명령을 실행하여 사용자 계정 Tom(위의 단계에서 OU=Admins,OU=Finance_Department,DC=contoso,DC=com으로 고유 이름이 복원된 Admins OU 직계 자식) 복원합니다.

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Admins,OU=Finance_Department,DC=contoso,DC=com"} -IncludeDeletedObjects | Restore-ADObject

Get-ADObject Restore-ADObject cmdlet 대한 자세한 내용을 보려면 Windows PowerShell Active Directory 모듈 명령 프롬프트에서 Get-Help Get-ADObject 또는 Get-Help Restore-ADObject 입력하십시오.

삭제된 Active Directory 개체 트리를 복원하는 사용할 있는 Windows PowerShell 예제 스크립트는 부록 B: 삭제된 여러 Active Directory 개체 복원(예제 스크립트) 참조하십시오.

   

Pasted from <http://technet.microsoft.com/ko-kr/library/dd379509(WS.10).aspx>

   

   

[개요]

Active Directory에 한번에 많은 사용자를 만드는 방법은 여러가지가 있습니다. DSADD, CSVDE등이 있습니다. 그러나 이러한 기존 방법은 사용자 생성시 암호를 같이 입력할 수 없었습니다. 파워쉘에서 Import-CSV를 이용하면 한번에 대량의 사용자의 암호를 동시에 설정할 수 있습니다.

   

[작업 방법]

대량의 사용자를 PowerShell로 등록하기 위해서 CSV 파일(엑셀 파일로 만든 후 CSV로 저장)에 아래와 같은 순서로 사용자 정보를 입력합니다.

꼭 아래의 화면과 같을 필요는 없으나 "Name" 필드는 필수입니다. 필요한 필드를 채웁니다. 여기서는 프로필 경로와 스크립트 경로는 입력하지 않았습니다.

Sample 파일 위치 \\G:\Document\Microsoft\ActiveDirectory

   

  1. Excel 파일을 이용하여 아래와 같은 CSV파일을 생성합니다.

    주의사항

    - 노란색 부분은 각 탭에 대한 설명이므로 실제 CSV파일 생성시에는 첫번째 행을 삭제합니다.

    - 각 개체에 빈칸이 있으면 안됩니다. 즉 [유기승] 이름 뒤에 빈칸을 두어서는 안됩니다.

     

       

  2. CSV로 저장된 파일을 notepad로 다시 열어 인코딩을 반드시 "UTP-8"로 저장합니다.

  3. 아래 코드를 복사해서 Powershell 에서 입력합니다. 주의할 사항은 CSV에서 입력한 필드와 아래의 코드의 순서를 맞추어야 합니다. CSV 파일에 필드명은 있으나 값이 없는 경우 해당 코드는 입력하지 않아도 무방합니다.  아래 코드에서 프로필 경로와 스크립트 경로는 입력하지 않았습니다.

       

    c:\users.csv는 CSV 파일의 경로를 지정합니다.

    위 엑셀의 열과 아래 명령어가 정확히 일치해야 합니다.

    Import-CSV c:\users.csv | foreach {new-aduser -Name $_.name -Path $_.Path -samaccountname $_.SamaccountName -userPrincipalName $_.userPrincipalName -Surname $_.Surname -GivenName $_.givenName -DisplayName $_.DisplayName -description $_.description -Office $_.Office -OfficePhone $_.OfficePhone -EmailAddress $_.EmailAddress -City $_.City -State $_.State -StreetAddress $_.StreetAddress -PostalCode $_.PostalCode -homePhone $_.homePhone -mobilePhone $_.mobilePhone -fax $_.fax -title $_.title -Department $_.Department -company $_.company -AccountPassword (ConvertTo-SecureString -AsPlainText "abcd1234!!@@" -Force) -Enabled $true -ChangePasswordAtLogon

       

       

       

       

       

+ Recent posts

티스토리 툴바