[9][2008 Server] ADDS 사용자 및 컴퓨터 [그룹]

[Active Directory 사용자 및 컴퓨터 - 도메인 - Users - 계정 속성 - 계정탭 - 로그온 시간]

=> 불필한 시간에 로그온 하지 못하도록 설정 가능

[Active Directory 사용자 및 컴퓨터 - 도메인 - Users - 계정 속성 - 계정탭 - 로그온 대상]

=> 특정 계정을 필요한 서버에서만 사용 가능하도록 설정 가능

[Active Directory 사용자 및 컴퓨터 - 도메인 - Users - 계정 속성 - 계정탭 - 계정만료]

=> 해당 날짜까지만 사용가능.

[Active Directory 사용자 및 컴퓨터 - 도메인 - Computers - 해당 서버 - 마우스 우클릭 - 계정 사용 안함 ]

=> 계정 자체를 사용 불가능

[Active Directory 사용자 및 컴퓨터 - 도메인 - Users - 여백 마우스 우 클릭- 새로만들기 - 그룹 ]

=> 이곳에서 만드는 계정은 도메인 그룹

조직도 관리의 편리한 그룹

그룹의 구성원을 또 다른 상위 그룹으로 넣어서 관리하면 개별적으로 권한 관리에 용이하다.

[Active Directory 사용자 및 컴퓨터 - 도메인 - Users - 여백 마우스 우 클릭- 새로만들기 - 그룹 ]

=> 그룹을 만든 후 최상위 그룹을 더블클릭- 구성원탭 - 추가 - 선택할 개체이름에 그룹안에 넣을 그룹이름을 ';' 세미콜론을 구분자로 추가.

그룹을 만들 때 

그룹 종류 -> 보안 -> 권한 설정할 때 사용하는 그룹

그룹의 범위 -> 

로컬(Local)그룹 : 로컬 그룹은 로컬 컴퓨터에서만 권한을 부여 받을 수 있다.

글로벌 < 유니버셜 < 도메인 로컬그룹

글로벌 그룹은 글로벌 그룹의 도메인만 그룹으로 넣을 수 있음.

글로벌 그룹은 오로지 하나의 도메인에만 있는 그룹원만 넣을 수 있음

다른 도메인의 그룹원은 넣을 수 없음.

유니버셜 -> 포리스트의 모든 도메인의 글로벌 그룹

다른 도메인의 그룹의 구성원을 넣을 수 있음

도메인 로컬 그룹 ->  포리스트의 모든 도메인

다른 도메인의 그룹의 구성원을 넣을 수 있음

유니버셜 그룹 & 도메인 로컬그룹의 차이점 ?

=> 도메인 로컬 그룹은 동일한 도메인의 도메인 로컬 그룹을 넣을 수 있다.

변경될 수 있는 그룹

글로벌 그룹->유니버셜 그룹 

유니버셜 그룹 -> 도메인 로컬 그룹, 글로벌 그룹 (유니버셜 그룹을 구성원으로 가지고 있지 않아야 한다.)

도메인 로컬 그룹-> 유니버셜 그룹(도메인 로컬 그룹을 구성원으로 가지고 있지 않아야 한다.)

Active Directory Domain Service 문제점

도메인 서버가 다운되면 도메인으로 만든 사용자 모든 계정들은 사용 불가능

=> 한번 로그온 한 아이디는 캐시를 남겨두고 이전에 정보를 가지고 로그온을 함

한번도 로그온하지 않은 아이디는 로그온 불가능

DC ---------  Client100

                        계정 ccc

ccc 계정으로 접속하게 되면 도메인 컨트롤러가 계정과 비밀번호의 자격증명을 요청하여 맞으면 로그온

도메인 컨트롤러 서버가 다운되면 자격증명이 불가능

하지만 도메인 컨트롤러가 2개 있으면 한개가 다운되더라도 서비스 가용성 향상

[도메인 컨트롤러 이중화]

1. 실행 - ncpa.cpl - 속성 - IPv4 속성-  

2. DNS -> 원래의 도메인 서버가 있는 IP로 지정

3. 서버관리자 - 역할 추가 - Active Directory 도메인 서비스 - 추가 

실행 - dcpromo 실행 - 기존 포리스트 - 기존 도메인에 도메인 컨트롤러 추가  - 도메인 입력 - 자격증명 - 설정 - 관리자의 아이디 비밀번호 

- 추가 도메인 컨트롤러 옵션 - DNS 서버 체크 ( samsung.com 이라는 도메인을 사용하기 위해 ), 글로벌 카탈로그 (도메인 서비스의 데이터들을 저장되는 공간) 

원래 있던 도메인 안 글로벌 카탈로그가 똑같이 복사되어 만들어짐=> 자격증명을  추가하는 도메인에도 물어볼 수 있음 => 이중화 =>내결함성이 높음, 가용성 높음

서로 글로벌 카탈로그는 동기화

글로벌 카탈로그 없이 만들었을 경우 => 자격증명 확인 불가능, 글로벌 카탈로그를 가지고 있는 도메인만이 자격증명 요청을 받아들일 수 있음

그럼 왜 만들까? 해당 관련된 도메인을 관리하기 위해서

RODC(읽기 전용 도메인 컨트롤러) Read Only Domain Controller

=> 계정 생성,삭제 불가능 오로지 자격증명만

4. 위에 새로 추가한 도메인 서비스  추가한 서버의 IP를 보조 DNS로 설정

netsh ineterface ip add dnsservers "로컬 영역 연결" 100.100.100.120

간혹 AD DS 설치하고 다른서버에서 도메인추가 오류가 날 경우

AD DS 서버 - 관리도구 - DNS - host 추가 - 해당 AD DS 서버 IP 추가 , 해당 서버 User 이름 추가 - 해당 서버 IP추가