윈도우 서버 2012-10. 개체 권한과 제어위임/ 트러스트

AD 개체(사용자, 컴퓨터, 그룹)에도 권한을 부여 할 수 있다. 권한은 기본적으로 폴더나 파일에 부여할 때의 과정과 비슷하다.

개체 권한 부여

1.보기-고급기능을 체크한다.

2. 특정 개체를 우클릭 후 속성을 누른다.

3. ADD를 눌러 특정 개체를 추가 할 수 있고

4. 해당 개체에 권한을 부여 할 수도 있다.

사실 개체에 권한을 부여하는 것이 뭐를 하는 것인지는 잘 모르겠다. 대충 읽기. 쓰기. 모든 권한, 모든 자식 개체 생성 뭐 이런게 있는데 정확히

뭐하는 것인지  모르겠다;;; 

파일/폴더와 똑같이 고급에 들어가서 특수권한을 설정 할 수 있다.

AD에는 또한 제어위임이라는 기능이 있다. 제어위임은 특정 개체에게 OU에 대한 권한을 부여하는 것이라고 생각하면 쉽게 이해가 갈 것이다. 실습을 해보면 바로 이해 할 수 있을 것이다.

(주의사항: AD가 꼬여서 전부 다 리셋하고 서버를 다시 설치했다. 환경이 약간은 다를 수도 있다는 점 유의!!)

제어위임

1. 우선 새로만들기-조직구조로 OU부터 만들어준다.

2. 임의의 이름을 지정해준다.

3.이번엔 새로만들기-사용자로 임의의 사용자를 만들어준다.

4. leader1로 아이디를 만들어주었다.

5. 도메인이 조인된 컴퓨터에서 leader1 ID로 들어간다.

6. 새로만들기-그룹으로 그룹을 만들어준다.

7. 위처럼 접근이 거부되는 것을 볼 수 있다.

8. OU를 우클릭하여 제어위임을 눌러준다.

9. 다음

10. 추가를 눌러서 구성원을 추가해준다.

11. 임의의 id를 빈칸에 입력해 찾아준다.

12. 추가된 것을 확인해주고

13. 그룹 만들기/삭제/관리를 체크해준다.

14. 다시 도메인 조인된 컴퓨터로 가서 leader1로 로그인해주자. 

15. 새로만들기-그룹으로 그룹을 만들어준다.

16. 다시 그룹을 만들어주면

17. 위와 같이 그룹이 만들어 진 것을 확인해 줄 수 있다.

근데 사실 제어위임을 왜 사용하는지 모르겠다. OU 개체를 우클릭-속성-보안탭에 들어가서 개별적으로 권한을 설정해줘도 위와같은 결과가 충분히 가능한데 굳이 왜 제어위임을 사용하는 것일까? 잘 모르겠다.

OU 개체 권한

1. 위와 같이 특정  OU를 우클릭-속성에 들어가자. 

2.leader1을 선택해서 권한을 부여해도 위와 같은 결과를 낼 수 있다. 위를 체크 할 시 새로 만들기로 모든 개체( 그룹, OU, 계정) 상관 없이 전부 다 만들 수있다.

심지어 고급 설정에 들어가면 각각 개체를 선택해서 세부적으로 만들어 위와 완전 동일한 결과를 낼 수도 있다 굳이 제어위임을 왜 사용하는 것일까??

윈도우에는 도메인 간에 신뢰관계를 생성할 수 있다. 신뢰관계라 함은 서로 다른 도메인의 자원에 접근 할 수 있는 권한을 가진다고 생각하면 된다. 트러스트에는 여러가지 특징이 있다. 이 특징으로 여러가지 트러스트로 구분된다. 

첫번째 특징은 전이성이다. 전이성이란 만약 a와 b가 연결되면 a와 연결된 자식 도메인이 b 모두와 신뢰관계를 맺는 형태를 뜻한다. 일반적으로 포리스트를 전이성 트러스트라 할 수 있다. 포리스트가 아닌 전혀 관계가 없었던 두 도메인 간에 신뢰관계를 형성하면 해당 관계에는 전이성이 생기지 않는다. 이러한 트러스트를 외부트러스트라고 한다.  

두번째 특징은 방향이다. 일반적으로 트러스트의 방향은 다음과 같이 이루어진다.

A-------------------------------------- > B (트러스트)

A <-------------------------------------  B(자원접근)

이런 식으로 이루어진다고 생각하면 된다. 즉 A가 B에게 트러스트 관계를 맺으면 B가 A의 자원에 접근이 가능하다는 것이다. 이렇게 한쪽 방향으로 트러스트를 맺으면 이를 단방향 트러스트라 하고 서로 트러스트를 맺는다면 이를 양방향 트러스트라 한다.

실습에 들어가기 앞서 우선 netdream2.com이라는 이름의 컴퓨터를 한 대 추가한다.

1. 역할 기능 추가를 눌러

2. AD 도메인 서비스를 설치하고

3. netdream.com 도메인을 만든다.

이때 유의할 점은 역시 ad ds를 만들기위해서는 dns 주소를 자신의 주소로 쓴다는 것!!!

트러스트 관게는 dns에서 전달자를 우선 맺고 그 후에 트러스트 관계를 맺는 순으로 진행된다.

양방향 트러스트

1.도구-dns로 들어간다.

2. 조건부 전달자를 우클릭 - 조건부 전달자 만들기.

3. 상대 도메인 이름과 dc의 ip를 넣어준다.

4. 반대 편도 이와 같이 준비한다. 이때 X표시가 뜨기도 한다( 이유는 모르겠지만) 하지만 통신은 가능하다.

5. Active Directory 도메인 트러스트에 들어간다. 양방향 트러스트를 맺을 생각이므로 둘 중 어디로 들어가든 상관은 없다.

6. 해당 도메인을 우클릭 해 속성에 들어간다.

7. 트러스트 탭에서 새로운 트러스트를 클릭한다.

8. 상대편 도메인을 입력해준다. 현재 내 도메인은 netdream2.com 이니 상대편 도메인은 netdream.com일 것이다.

9. 외부 트러스트와 포리스트 트러스트 설정 항목이 나온다. 다시 말하지만 둘의 차이는 전이성의 여부이다.

포리스트 트러스트는 전이성이 있어 자식 도메인들까지 모두 신뢰관계가 맺어진다.

10. 방향을 지정해준다. 방향은 양방향이 있고 단방향이 있다. 단방향으로 지정 시 하나는 incoming 하나는 outgoing으로 지정해준다.

11. 인증 방식을 지정해준다. 위에 것을 선택해주자.

12. 위에 것을 선택하면 해당 도메인만 트러스트가 생성된다. 그러면 상대편 도메인으로 가서 또 트러스트를 맺어줘야한다.

밑에 것을 선택해서 트러스트를 맺으면 상대편도 자동으로 해당 도메인과 트러스트를 맺는다.

13. 완성되었으면 AD 사용자 및 컴퓨터로 들어가서 제일 위 상위 폴더를 우클릭-도메인 변경을 누른다.

14. 방금 신뢰 관계를 맺은 상대편 도메인을 입력한다.

15. 그림과 같이 도메인이 상대편 도메인으로 바뀐 것을 볼 수 있다. 신뢰 관계가 맺어지면 권한이 있다는 가정 하에 상대 도메인 자원에  access 할 수 있다.

사실 이 부분 정말 쉬운데 굉장히 오래걸럈다. local error라는 것이 계속 떠서 원인을 알 수 없어서 계속 찾아봤다. 분명 트러스트 간에 서로는 인식을 하는데 도메인을 찾을 수 없습니다. because: local error 뭐 이런 식의 오류가 계속 반복했다 해결법은 정말 간단했다 바로 트러스트를 맺는 서버들 끼리 시간을 동기화 시켜주는 것이다. 수동으로 시간을 비슷하게 맞춰주거나 네트워크 동기화로 시간을 맞춰주면 바로 해결된다!!

진짜 어려운 부분이었던 것 같다. 양도 많고 힘들었다. 아직도 겉핥기 식으로 이해한 것 같아 마음에 걸린다. 그래도 다음 그룹 정책 까지만 끝내면 스토리지 부분과 백업 부분은 상대적으로 쉽고 익숙한 개념이니 꾹 참고 버텨야겠다.