윈도우 서버 2012-7. 그룹2 -기타 그룹/ 그룹 관리자 + 원격관리도구

사용자가 지정해주는 그룹 말고도 windows에는 여러가지 그룹이 존재한다.

우선 내장 그룹은 사용자가 정의하지 않아도 기본적으로 윈도우에서 제공하는 그룹들을 뜻한다. 시스템 변경에 대한 차등적인 권한을 부여 받을 수 있다. 대표적으로

administrators(컴퓨터 관리자), Domain Admins(도메인 관리자), Account operators(계정 관리자)와 같은 관리자 그룹들과

Power Users(프로그램 추가/제거, 사용자 추가/제거), Domain Users(도메인의 user들), Remote Desktop Users(원격 접속 허용 그룹) 등등이 존재한다.

내장그룹

1. BUILTin or Users 그룹에서 해당 그룹을 확인 가능하다.

또한 이러한 그룹 외에 system 그룹이라는 것도 존재한다. system 그룹은 관리자가 맘대로 추가/제거 할 수 없는 OS가 통제권이 있는 그룹을 뜻한다. 즉 윈도우가 알아서 구성원을 바꿔주는 그룹이다. 대표적으로 Everyone(포리스트 내 모든 사용자), Network(네트워크를 통해 리소스에 접근한 그룹) 등등이 있다.( System group은 어디서 확인하는 것인지 모르겠다. 아마 확인 못하는 것이 아닐까?)

윈도우에는 그룹 관리자라는 것이 존재한다. 그룹 관리자는 임의로 그룹의 구성원을 추가하거나 삭제 할 수 있는 권한을 가진 계정을 뜻한다. 

* 계정관리자 실습을 위해서 컴퓨터 한대가 더 필요하다. 해당 실습을 위해 두개의 계정을 만들고 하나의 계정을 특정 그룹의 관리자로 지정 할 것이다. 그리고 각각의 로그인 계정으로 들어가 권한 확인을 진행 할 것이다. 근데 여기서 문제가 생긴다. 계정을 만들어도 해당 계정으로 로그인이 불가능하다. 이게 참 아이러니한게 다른 컴퓨터에서 도메인 조인하고 해당 도메인 아이디로 로그인 하는 것은 가능하다. 근데 자식 도메인이거나 해당 도메인에 직접 로그인 하는 것이 불가능하다.(아마 정책 상 로컬 로그인?? 비슷한 것이 막혀있는 것으로 추측. -> 보안 상의 이유로 DC에서는 관리자 외에 로그인을 막아놨다고 한다.) netdream.com 도메인에 아이디를 하나 만들고 해당 DC나 자식 도메인 DC로 로그인하면 로그인이 거부되는 현상이 일어난다. 그래서 하나의 컴퓨터를 추가해 해당 컴퓨터를 자식 도메인에 조인하는 형태로 만드려고 한다. 즉 부모도메인---자식도메인---(도메인 조인)----클라이언트   이런 모델을 만드려고 한다. 하나의 컴퓨터를 추가하는 것이 부담스러우면 그냥 부모/자식 도메인 관계를 해제하고 다시 도메인 조인 상태로 돌려버리면 된다.

우선 컴퓨터 한대를 추가해 child.netdream.com에 조인하고 원격으로 AD를 관리할 수 있는 도구를 설치하는 것 부터 시작하겠다.

원격 관리도구 설치

1. 우선 IP를 자식 도메인 컨트롤러(child.netdream.com)으로 바꿔주자.

2.sysdm.cpl을 실행하여

3. 변경을 눌러

4. 도메인을 체크 후 도메인 명을 써준다. 확인을 누를 시 위와 같은 로그인 창이 나올 것이다. 자식 도메인의 administrator 계정으로 로그인해주면 도메인 조인이 완료된다. 완료 된 후 재부팅을 해주자.

5. 재부팅 후 로그인하여 역할과 기능 추가를 클릭한다.

6. 기능 탭에서 역할관리도구 펼치기-AD DS 및 AD LDS 도구 펼치기- AD DS도구 펼치기- Active Directory 관리 센터와 AD DS 스냅인 명령~~ 을 체크해준 후 다음을 누르고 마지막에 설치 버튼가지 누른다.

원격 관리 도구를 설치하면 원격지에서도 도메인 계정으로 로그인 시 해당 도메인을 관리 할 수 있는 권한이 있다.

해당 과정이 마무리 되었으면 이제 진짜 그룹 관리자 실습을 시작해보자.

그룹관리자

1. 도메인 명 우클릭-새로 만들기- 사용자

2. 임의로 두개의 계정을 만들어 준다. 나같은 경우는 각각 cnet1, cnet2로 계정을 생성했다. 

3. 아래와 같이 비밀번호를 설정해주고 계성을 생성한다.

4. 다시 도메인 명 우클릭-새로만들기-그룹을 클릭해준다.

5. 그룹 유형은 상관없지만 여기선 글로벌 그룹을 선택하겠다.(다른 것 선택해도 상관 없다)

6. 그럼 위와 같이 계정 두개와 그룹 한개가 만들어진 것을 볼 수 있다.

7. 그룹 우클릭-속성을 클릭해준다.

8. 관리자 탭에서 변경을 눌러준다.

9. 임의의 계정(cnet2)을 입력하고 확인을 누른다.

10. 위와 같이 뜨는 것을 알 수 있다,. 그러면 관리자가 구성원 목록을 ~~ 을 체크해주고 적용-확인버튼을 차례대로 누른다.

11. cnet1으로 로그인해준다. 참고로 cnet1은 관리자계정이 아니다.

12. ad 사용자와 컴퓨터-그룹 우클릭- 속성을 누른다.

13. 추가 버튼이 비활성화 되어있는 것을 볼 수 있다. 관리자가 아니므로 당연하다.

14. 이번엔 cnet2로 로그인해보자

15. 아까와 다르게 관리자가 활성화 되어있는 것을 볼 수 있다.

이것으로 그룹을 마무리하겠다. 사실 그룹은 그룹 자체보다 그룹을 통해 자원을 효울적으로 거부시키는 것이 핵심인 것 같다. 아마 다음 시간에 배욼 수 있을 것이다.