0922

실습전 도메인 구성완료 시점(DC:도메인컨트롤러, SVR:도메인 가입만 되어있는 상태)로 Rollback 후 실습

RODC 설치

RODC : Read Only DC

특징
1. DC를 추가할 필요가 있지만, 지리적 위치상 관리할 인력이 없거나, 전문지식을 가진 사람이 없을 경우 사용
2. 읽기전용 - RODC에서 도메인의 정보를 변경 할 수 없음
3. 패스워드 등 중요 정보 제외하고 복제 가능

실습
실습전 도메인 구성완료 시점(DC:도메인컨트롤러, SVR:도메인 가입만 되어있는 상태)로 Rollback 후 실습

1. SVR에서 ADDS 역할 설치
2. 도메인 컨트롤러 승급
	RODC 옵션
	패스워드 복제 허용 그룹 설정
	패스워드 복제 불허 그룹 설정
3. 설치 완료 후 DC의 'Active Directory 사용자 및 컴퓨터' 도구에서 Domain Controller 카테고리에서 SVR서버가 '읽기 전용' 표시되어 있는지 확인

실습완료 후 DC, SVR Rollback.
SVR에서 도메인컨트롤러 복제를 진행 (일반 복제, IFM 복제 상관없음)

======================================

FSMO (Flexible Single Master Operation)

실습전 SVR도 도메인 컨트롤러로 구성 
(RODC로 구성하지말것)

액티브 디렉토리에서 DC는 수평적 관계

Single Master Operation : 한 개의 DC에서만 수행되어야 하는 작업

SID 확인
cmd에서 wmic useraccount get name,sid

SID 할당을 여러개의 DC에서 각각 하게 된다면?

RID Master : SID를 할당해 주는 역할
Infrastructure Master : 도메인 인프라 구조의 변경 체크
PDC Emulator : NT디렉토리서비스에서 사용되던 PDC의 기능을 수행. 시간 동기화의 기준

역할 가져오기 기능을 통해 Single Master Operation 기능을 수행하는 서버 변경가능 
- 원래 Single Master Operation을 수행하던 도메인 컨트롤러가 정상 작동중일경우

Single Master Operation을 가지고 있는 도메인컨트롤러가 작동중지된 경우 SMO 가져오기
cmd 에서 ntdsutil 명령 실행
roles 
connections
connect to server [서버이름]
q
seize [Single Master Opearation]

역할 점유 완료 후 AD 사용자 및 컴퓨터 도구에서 작업 마스터 현황 확인


======================================

Active Directory 사용자, 컴퓨터, 그룹, 조직구성단위(OU)

로컬 계정 관리도구 : lusrmgr.msc

액티브디렉토리 사용자 등 개체 관리도구
1. AD 사용자 및 컴퓨터
2. AD 관리 센터 (윈도우서버 2012에서 새로 생김)
3. MMC (Microsoft Management Console)
	메뉴 - 파일 - 스냅인 추가 - 사용자 및 컴퓨터
	불러온 스냅인 모음을 저장하여 재사용가능 (.msc)
4. cmd 에서 사용하는 명령어 (ds...)
5. PowerShell 에서 사용하는 명령어 (....-ADUser)
6. csvde, ldifde 등의 명령어를 사용하여 사용자 관리

사용자 및 개체 이름 표기 방법
1. NetBIOS 방식
	도메인NetBIOS이름\사용자이름
2. UPN(User Principal Name)
	사용자이름@도메인이름
3. DN (Distinguished Name)
	CN=testuser,OU=testou,DC=steacher,DC=com
4. RDN (Relative Distingushed Name)
	CN=testuser

CN : Common Name
OU : Organizational Unit
DC : Domain Component

======================================

액티브 디렉토리 사용자 추가 실습

1. GUI 기반의 사용자 추가
AD 사용자 및 컴퓨터(MMC), AD 관리센터
	트리 형태의 도메인 구조에서 개체 생성 가능
	AD사용자 및 컴퓨터 : 기본정보 입력하여 개체 생성 후 상세정보 입력가능
	AD관리센터 : 개체 생성시 상세정보 입력하여 개체생성가능

2. CLI(Command Line Interface) 기반의 사용자 추가
CMD, PowerShell

dsadd 명령어
dsadd user "CN=test3,OU=testou,DC=steacher,DC=com" -samid test3 -pwd Pa$$w0rd

dsrm "CN=test3,OU=testou,DC=steacher,DC=com"

New-ADUser 명령어

PS C:\Users\Administrator> New-ADUser "test4" -AccountPassword(Read-Host -AsSecureString "Enter Password") -Path "OU=testou,DC=steacher,DC=com"

Remove-ADUser "CN=test4,OU=testou,DC=steacher,DC=com"

======================================

csvde, ldifde 명령어 사용법

csvde : comma(,)로 구분되어 있는 항목
ldifde : 각 항목이 한 줄

개체 정보 파일로 만들기
csvde -d "OU=testou,DC=steacher,DC=com" -f "c:\csvde.txt"

csvde 명령어를 사용하여 개체 추가
샘플 데이터 (파일로 저장)

DN,objectClass,SAMAccountName,userPrincipalName,displayName
"CN=test5,OU=testou,DC=steacher,DC=com",user,test5,test5@steacher.com,테스트5

cmd에서
csvde -i -f "c:\csvdetest.txt"

ldifde 도 파일형식만 다를뿐 사용법은 동일

csvde, ldifde 명령 실행하여 사용자 계정 생성시 특징
1. 계정 생성시 암호 지정 불가능
2. 계정 잠금 상태로 생성

======================================

컴퓨터 개체

개체 생성 : Active Directory 가입을 통해 개체 생성

컴퓨터 개체의 필요성
1. 인증 : AD인증을 할 수 있는 컴퓨터는 도메인 가입되어 있는 컴퓨터
2. 정책 적용 : 그룹 정책 등을 통해 컴퓨터에 소프트웨어 설치, 업데이트 적용, 실행환경

======================================

그룹(Group) / 조직 구성 단위(Organizational Unit)

공통점 : 사용자/컴퓨터/그룹 등을 구성원으로 포함 가능

차이점
1. 그룹 : 도메인 트리 구조에 표시되지 않음.
   조직구성단위 : 도메인 트리 구조에 표시됨
2. 그룹 : 동일한 사용자가 중복 가입할 수 있음
   조직구성단위 : 개체는 1개의 조직구성단위에 소속됨
3. 그룹 : 권한 설정을 하는 용도 사용
   조직구성단위 : 정책을 적용, 위임(Delegation)을 설정.

======================================

그룹의 분류

종류
보안그룹 : 일반적으로 사용되는 그룹. 권한 설정에 사용할 수 있는 그룹.
배포그룹 : 이메일 배포 등의 용도로 사용되는 그룹. 권한설정에 사용할 수 없음.

범위
글로벌그룹 : 해당 그룹과 같은 도메인에서 구성원을 받아서, 전체 포리스트의 자원에 권한 설정
도메인로컬그룹 : 전체 포리스트 + 트러스트 관계에 있는 도메인에서 구성원을 받아서 도메인로컬그룹이 소속되어 있는 도메인의 자원에 권한을 설정
유니버설 그룹 : 전체 포리스트에서 구성원을 받아서, 전체 포리스트에 권한 설정을 할 수 있음

유니버설 그룹으로 통일해서 사용하면 안되는 이유
=> 유니버설 그룹의 정보는 GC(Global Catalog)에 저장이 되고, GC끼리 동기화.


=====================================

그룹 범위 테스트

1. DC와 SVR을 별도의 도메인으로 구성하고 같은 포리스트로 구성 (같은 포리스트의 트리 도메인으로 선택)
2. DC와 SVR의 각 도메인에 테스트용 사용자 및 테스트용 그룹(글로벌, 유니버설, 도메인로컬)을 각각 생성
3. DNS설정 - 조건부 전달자 설정
ex) DC에서 steacher2.com에 대한 DNS 요청은 SVR로 전달
SVR에서 steacher.com에 대한 DNS 요청은 DC로 전달
4. 각각 글로벌그룹, 도메인로컬그룹, 유니버설 그룹에서 다른 도메인의 사용자를 구성원으로 추가할 수 있는지 확인
글로벌 : 자신의 도메인만 구성원으로 추가가능
도메인로컬 : 다른 도메인도 가능
유니버설 : 다른 도메인도 가능
5. 각 그룹에 대하여 권한설정 가능여부 확인
글로벌 : 다른 도메인의 글로벌그룹에 권한설정 가능
도메인로컬 : 다른 도메인의 도메인로컬그룹에 권한설정 불가
유니버설 : 다른 도메인의 유니버설 그룹에 권한설정 가능
6. 각 그룹별 그룹 중첩 가능여부 확인
글로벌그룹 : 글로벌그룹만 구성원으로 소속가능
도메인로컬 : 글로벌,도메인로컬,유니버설 구성원으로 소속가능
유니버설 : 글로벌, 유니버설 구성원으로 소속가능

AGDLP
Account - Global - Domain Local - Permission
도메인의 계정은 전체 포리스트에 권한설정할 수 있는 Global 그룹에 소속
권한을 설정할 도메인의 Domain Local그룹에서는 해당 Global 그룹을 구성원으로 포함시킴
공유자원은 해당 Domain Local 그룹에 권한 할당

======================================