윈도우 서버 2012-6. 그룹1 -범위에 따른 그룹

그룹은 비슷한 컴퓨터, 사용자, 다른 그룹들의 논리적인 집합이라고 생각하면 된다. 그렇다면 앞서 배운 OU와 무엇이 다른가하는 생각이 든다.  정확히는 모르겠지만 가장 큰 차이는 용도 인 것 같다. OU는 그룹 정책 설정에 사용하며, 그룹은 리소스에 대한 액세스를 제어할 때 사용한다는 것이다. 예를 들면 그룹정책은 특정 부서가 제어판 사용을 금지시키는 등의 조직별로 적용되는 정책을 뜻한다. secpol.msc로 들어가면 도메인이 아닌 로컬에서 운영되는 정책을 확인 할 수 있으며 도메인 그룹 정책은 나중에 다시 학습하는 시간이 있을 것이다. 리소스에 대한 액세스 제어는 특정 폴더나 파일로의 접근을 금지하는 등을 뜻한다.( 사실 나도 두개의 정확한 차이점은 모르겠다.) 또한 하나의 사용자는 반드시 하나의 OU에만 속해야하나 여러 그룹에 속할 수 있다는 사소한? 차이점도 있다.

도메인 환경에서 그룹을 나눌 때 크게 두가지로 나눌 수 있다.

1. 보안 그룹: 앞서 말했듯이 리소스에 대한 권한을 부여할 때 사용하는 그룹이다.

2. 배포 그룹: 단순히 이메일을 배포할 때 사용하는 그룹이다. 특정 그룹을 상대로 이메일을 한번에 보낼 때 사용한다.

당연히 우리가 여기서 알아봐야 할 그룹은 보안그룹이다.

보안 그룹도 또 역할과 범위에 따라 여러 그룹으로 나누어진다. 이것은 직접 실습해보면서 확인해보자.

우선 도메인 환경에서 그룹 생성은 다음과 같다.

범위에 따른 그룹

1. 평소와 같이 AD 사용자 컴퓨터에 들어간다.

2. 도메인 명 우클릭-새로만들기-그룹 클릭

3. 이런 식으로 그룹 범위와 그룹 유형에 따른 선택지가 있을 것이다. 그룹 유형은 앞서 말했듯이 배포와 보안으로 나누어진다.

그룹 범위를 각각 도메인 로컬, 글로벌, 유니버설 3가지가 있다.

각각의 그룹은 가질 수 있는 구성원의 범위에 차이가 있다고 보면 된다.

1. 글로벌- 동일한 도메인의 사용자, 컴퓨터 계정과 글로벌 그룹을 구성원으로 가진다.

2. 유니버셜-동일한 포리스트 내의 모든 도메인의 사용자, 컴퓨터 계정과 글로벌그룹, 유니버설 그룹을 구성원으로 가진다.

3. 도메인 로컬-신뢰관계가 구축된 모든 도메인 내의 모든 컴퓨터, 사용자 계정과 글로벌그룹, 유니버설그룹, 도메인 로컬 그룹을 구성원으로 가진다.

*여기서 신뢰관계라는 것은 아직 배우기 전이니 그냥 그렇구나 정도로만 알고 있자!!! 그냥 포리스트는 자동으로 신뢰관계를 맺은 도메인들이구나 정도만 알고 넘어가자. 즉 도메인 로컬은 자연스럽게 포리스트도 포함하는 범위이다.

이런식으로 범위가 구성된다고 보면 된다. 신뢰관계는 아직 안배웠으니 제외하고 동일 포리스트와 동일 도메인에서의 구성차이를 살펴보자. 바로 저번 시간에 자식 도메인과 부모 도메인을 생성했으니 이 두개를 이용해 실습한다.

가정:  netdream.com-> 부모 도메인, 

              child.netdream.com -> 자식도메인

1. netdream.com(부모 도메인)으로 가서 계정을 생성한다.

2. 임의로 이름과 id를 주자 여기서 id(net1)를 꼭 기억하자

3. 계정이 생성된 것을 확인

4. 계속해서 부모도메인에서 그룹을 만들어보자

5. 그룹생성은 글로벌 그룹만 필수로 만들고 도메인로컬과 유니버설 중 선택해서 만들자.

이유: 도메인 로컬과 유니버설 둘 다 동일한 포리스트 내의 모든 계정을 포함한다!!

6. 글로벌 그룹을 만든다.

7. 이런식으로 계정이 생성 된것을 확인한다. 각각 도메인로컬, 글로벌, 유니버설 그룹이다.(도메인 로컬, 유니버설은 택 1 해도 상관 없다)

8. 이번엔 자식 도메인(child.netdream.com)으로 가서 새로운 계정을 생성한다 역시 계정 id(cnet1)만 기억해두자

9. 계정이 생성 된 것을 확인한다.

10. 그럼 다시 부모 도메인(netdream.com)으로 돌아간다. 만든 글로벌 그룹 계정 우클릭-속성을 누른다.

11. 구성원 탭-추가를 누른다.

12. location(위치? 한국어판 이름이 기억이 안난다;;)을 누르고 

13. 도메인명(netdream.com)을 펼쳐서 내용물을 확인한다. 확인하였으면 도메인명을 클릭하고 확인 버튼을 누른다/

14. 빈 공간에 net1을 입력하고 ok를 눌러보자

15. 이와 같이 계정이 추가되는 것을 확인 할 수 있다.

16. 다시 도메인 로컬이나 유니버설 그룹(택 1)중 우클릭- 속성을 누른다.

17. 다음과 같이 빈공간에 net1을 쓰고 확인을 누른다.

18. 마찬가지로 추가되는 것을 볼 수 있다.

19. 다시 추가 버튼을 누르고 location버튼을 누른다

20. 이번에 부모도메인(netdream.com)을 펼쳐보면 자식도메인(child.com)이 속해있는 것을 확인 할 수 있다. 

이때 자식 도메인을 클릭하고 확인버튼을 누른다.

21. 그럼 위와같이 location이 자식도메인으로 바뀌어 있을 것이다.

여기서 자식 도메인에서 생성한 계정인 cnet1을 쓰고 확인 버튼을 누른다.

22. 이와 같이 자식도메인 계정이 그룹에 포함된 것을 볼 수 있다.

정리: 자식도메인을 만드는 것은 트리를 만드는 것이다. 이 트리가 모여서 포리스트가 됨으로 자식 도메인을 만드는 것은 포리스트를 만드는 것이라고 할 수 있다.

글로벌 그룹은 동일한 도메인 내에서만 구성원을 추가 할 수 있고

유니버설, 도메인 로컬 그룹은 동일한 포리스트 내에서 구성원을 추가 할 수 있다.(도메인 로컬은 신뢰 관계 도메인까지 포함)

고로 자식 도메인에서 생성된 cnet1은 유니버설, 도메인 로컬 그룹에서만 구성원으로 추가가 가능하다.

이번에 나간 수업이 지금까지 수업 중 가장 어려운 것 같다. 신뢰관계, 포리스트, 도메인 너무 헷갈리는 개념이 윈도우 서버에는 많은 것 같다. 왜 리눅스가 가벼운 서버 OS인지 알 것 같다. ㅠㅠ