RID 500 => 관리자
CMD 명령어에서 계정을 만들때 >dsadd 는 꼭 기억해 두자.
<> 는 반드시 써야 되는 것. []는 사용해도 되고 사용안해도 무관한 명령어 옵션이다.
>dcpromo 기억해두자!!
도메인이 하나밖에 없다. 이것도 Forest 라고 부를 수 있다. Forest 도메인의 집합이라고 한다.
그룹이라는 것에 대해서 시작해보자!!
7-51 그룹을 사용 안하게 된다면 공유 폴더가 있을때 1번 그림처럼 사용자 한명 한명 퍼미션을 지정해주어야 한다. 즉 각각 관리를 해야된다는 것이다. 권한부여를 일일이 해주어야 하는 것.
OU는 조직구성단위 즉, 쉽게 부서라고 생각하면 된다. 이것은 정책과 관련된 것이고
그룹은 권한과 관련이 있는것이다. OU와는 목적이 다른 것이다.
권한에서 퍼미션 같은 경우는 개체에 관한 것. 라이트 같은 경우 실셈에 대한 것이다.
개체 : 공유폴더, 프린터 사용 여부
시스템 : 네가 이 시스템을 종료할 권한이 있는가 없는가 이런것은 라이트가 되는 것이다. ?? 개체가 아니라
authentication : 계정에 대한 인증. 인증받은 사용자. 인증이라는 것은 대조작업이다. DC에 가서 대조작업을 거친다. 즉 도메인 사용자라는 것이다. 시스템, 서비스에 대한 인증. DHCP 같은 경우에 어떤 서비스에 대한 인증을 받아야 서비스가 가능한 것이다.
autholization :
그룹을 사용하지 않았을 경우에는 사람 수가 늘어날 수 록 실수가 늘어나게 된다. 내 도메인에 어떤 개체를 공유한다. 다른 도메인의 관리자까지 관리를 하게 된다. 망한 회사가 아니고서는 직원들의 수가 매년 증가한다.
3가지 이유로 인해서 사용자가 많아지면 시간이 오래 걸린다.
그룹도 SID가 부여가 된다. 이 SID
7-55 보안 그룹 : 메일 로 만들 수 있다. 어떤 퍼이션을
베포 그룹 : 체크하지 않는다.
로컬 그룹은 일단 사용하면 안된다. local 자가 들어갔다난 것? 관리자의 통제를 받을 수 없다.
DC에서 도메인 그룹인지 도메인 그룹인지
LUSRMGR.MSC
======================================================================================
그룹이기 때문에 가입이 어떻게 되는지 퍼미션은 어떻게 되는지 알고 있으면 된다. 글로벌 그룹 현재 도메인에 있는 사용자만 가입 가능하다. 여기서 말하는 현재 도메인은 글로벌 그룹을 만든 그룹을 이야기 하는 것이다.
퍼미션은 다른 도메인에 가서도 부여받을 수 있다.
======================================================================================
그룹이기 때문에 가입이 어떻게 되는지 퍼미션은 어떻게 되는지 알고 있으면 된다. 글로벌 그룹 현재 도메인에 있는 사용자만 가입 가능하다. 여기서 말하는 현재 도메인은 글로벌 그룹을 만든 그룹을 이야기 하는 것이다.
퍼미션은 다른 도메인에 가서도 부여받을 수 있다.
예) 솔데스크에서 글로벌 그룹을 만든다. G_솔데스크 강사부를 만들면 강남이나 종로에서는 가입을 할 수 없다. 종로, 강남도 마찬가지다.
1. 퍼미션을 많이 부여해서 실수 할 수 있는 것을 방지할 수 있다. 200명 넘게 일일이 하는 것보다는 3 그룹의 권한만 날리면 되는 것이다.
2. 내 도메인의 데이터를 공유하면서 다른 관리자들 까지 내가 관리해야 되는 문제점 해결. 종로에 있는 관리자가 집어 넣기만 하면 이 그룹에 대한 권한은 해당 그룹에 있는 사람들만 관리하면 되는 것이다.
3. 그룹의 정보만 불러오면 되는 것이다. 이 폴더는
==========================================================================================
-도메인 로컬 그룹-
가입은 모두다, 퍼미션은 현재 도메인에서만 가능. 글로벌 그룹을 만들었을 때에 문제가 다 사라진 것 처럼
===================================================================================
AGDLP 를 사용해야 된다. 기본 그룹화 전략
? 공유폴더를 만들었다. 글로벌 그룹을 만들면 이런 문제가 있어서 도메인 로컬 그룹도 만들어야 된다는 것이다.
=================================================================================
글로벌 카탈로그 모든 개체의 최소한의 정보를 갖고 있다. 그래야지 저쪽으로 가면 알 수 있다. 이런 식으로 가능한것이다. 사용자가 나에게 몰리고 내가 다알고 있다고 해도 검색 시간이 많아지기 때문이다.
================================================================================
유니버셜 그룹 : 가입모두다 퍼미션 모드다에서 가능하다. 유니버셜 그룹은 되도록이면 사용하지 말자라는 것이다. 보안문제가 생길 수 있기 때문이다.
===============================================================================
첫번째 도메인 관리자는 어디에서 가든 관리자이다. 그 아래에 있는 자식 관리자는 자신의 도메인에 대해서만 관리자이다. 무슨 이유 때문일까? 엔터프라이즈 어드민이다.
=================================================================================
AGDLP 를 왷
'Computer Engineering > WIN2008' 카테고리의 다른 글
WIN2008#1 - 그룹 정책 (0) | 2011.08.23 |
---|---|
WIN2008#1 - 퍼미션 조합 (0) | 2011.08.22 |
WIN2008#1 - 프로필 (0) | 2011.08.10 |
WIN2008#1 - Client 가입 (0) | 2011.08.09 |
WIN2008#1 - (0) | 2011.08.08 |