OS & TIP/Windows2008. 5. 18. 19:56

자 이제 부터는 사용자를 등록하고 그룹을 설정하는 부분을 알아보도록 하자.


AD 설치하기 이전의 windows2003 에서의 사용자 등록은

컴퓨터 관리에서 사용자를 등록하였다. 그러나 AD를 설치하면서 관리도구에

컴퓨터 관리항목에 사용자 등록이 사라지고 관리도구에 'Active Directory 사용자 및 컴퓨터' 에서

사용자를 등록한다.


시작 -> 프로그램 -> 관리도구 -> 'Active Directory 사용자 및 컴퓨터'

 

** 이떄 관리도구가 안보인다면 상태표시줄에 마우스 오른쪽으로 클릭하고 속성에  들어가본다.

속성창에서 시작메뉴 템으로 들어가 옵션항목을 '이전 시작 메뉴' 로 선택하고 사용자 지정 버튼을 누르면

시작메뉴 고급옵션 항목에 관리도구 표시 항목이 체크되어잇는지 확인하고 체크가 되어있지 않으면

체크를 해주고 확인을 눌러주면 시작메뉴에 관리도구가 추가 되어있는것을 볼수 있다.



화면을 보면 자신의 컴퓨터 도메인 항목이 모이고 그 밑으로 여러개의 항목들이 달려있다.

builtin 항목안을 보면 windows2003을 설치하면 기본적으로 제공되는 계정 그룹들이 보인다.

그리고 맨 밑으로 user 항목이 보이는데 이 User 항목에서 새로운 사용자를 등록하면 된다.

User 항목을 클릭해보면 여러개의 기본제공되는 사용자 목록이 보여지게된다.

이 빈 공백에다 오른쪽 마우스 버튼을 누르면 메뉴가 보이는데.. 그중에서 새로만들기 -> 사용자를 선택하면

사용자 등록 화면이 나온다. 성 과 이름은 자신이 주기 나름이며.. 로그온 이름을 정할때는 몇가지 주위 하도록 하자

로그온 이름은 띄어쓰기를 구분하므로 띄어쓰기 보다는 _ 혹은 - 를 넣어서 구분하여주며 왠만하면 공백없이

이름을 정하도록 하자.


다음으로 넘어가면 암호를 입력하게 하는 창과

밑에 여러가지 옵션들이 보이게 된다.  옵션중에 다음 로그온시 반드시 암호변경에 체크가 되어있다면 헤제해주고

원하는 암호를 입력하고 넘어가면...


에러가 난다. ^^;;   아마도 영문 숫자 특숙기호까지 섞어서 입력하는 유저는 극히 드물거라 생각되는데

지금 암호설정 상태가 복잡한 암호로 되어있어서 영문, 숫자, 특수기호를 섞어 사용해야 한다.

우리는 테스트를 위주로 Local 에서 실습하므로 실무에서나 쓸법한 특수기호까지 사용할 필요가 없으므로

이 제한을 풀고 다시 계정을 등록 하도록 하겠다. 계정 등록에 관한 설명은 더 없다 -_-;

(계정 복사에 관한 내용은 한번 이야기가 나올것임)


암호에 관한 보안 설정을 약화 시키려면 (실습을 위하여서.. 너무 복잡한 암호 계속 기억하기 힘드니;;)

관리도구에서 '기본도메인 보안 설정' 을 선택하면 된다.

왼쪽 항목에서 + 표시된 보안설정 아래에 계쩡정책 -> 암호정책 을 클릭하면

6개의 옵션이 나온다.

첫번쨰로 '암호는 복잡성을 만족해야 함' 이 아마도 사용으로 되어있을것이다. 이것을 더블클릭해서 사용안함으로

고쳐주면 앞으로 숫자, 영문자, 특수기호등을 섞어서 암호를 입력하지 않아도 된다.

두번쨰 최근암호 기억 은 24개로 표시되어있는데 말그대로 암호를 바꿀때마다 바뀐 암호들을 저장한다.

(한번 바꾼 암호는 다시 바꿀수 없다고 하던데... 시험해보진 않았다...)

세번째 최대 암호사용기간은 42일로 기본 셋팅되어져 있고, 이것은 그냥 납두자.. 귀찮다면 바꾸어줘도 괜찮다.

(어차피 실습하면서 계정 지웠다 만들었다 반복하는지라... 안바꿔도 상관이 없다)

네번쨰 최소 암호 길이... 이것은 기본값이 얼마였는지... 아마도 6자 이상일거라고 생각된다.

숫자를 0으로 입력하게되면 암호길이에 상관없이 암호입력이 가능하게 됩니다.

다섯번째로... 최소암호 사용기간 인데요.. 요것은 아마도 기본값이 1일로 설정되어있는데

비밀번호를 변경하고서 최소 1일을 사용해여지만 비밀번호가 변경이 됩니다. 역시나

좀 귀찮은 옵션이기 때문에 0일로 만들어서 쉽게 쉽게 사용하도록 하죠.


다음은... 6번쨰 옵션인데.. 그냥 사용안함으로 설정해주시고.... --;  넘어가도록 합시다! ㅋ


그럼 이제 아까전에 암호설정을 하면서 막혔던부분도 슉슉~~~ 잘 넘어가서 계정이 만들어집니다. ㅋ


 자 다음으로 넘어가서 그룹설정으로 들어가 보도록 하겠습니다.

스샷을 찍어서 올리면 좋겠으나... 후우..;; 좀 귀찮네요 ^^;;


관리도구의 AD 사용자 및 컴퓨터에서 새로운 사용자를 등록하였죠. 그룹설정 역시 이곳에서 하면됩니다.

그룹 설정하는 부분은 크게 어렵지는 않습니다.

다만 그룹에 대해 이해하고 그곳에 사용자들을 등록하였을때 변하게되는 상황들에 대해서 먼저 알아보겠습니다.


그룹의 종류에는 도메인그룹, 도메인 로컬 그룹, 글로벌 그룹, 유니버셜 그룹이 있습니다.

어... 4가지 그룹에 대해 배우긴 했는데... 왜케 생각이 안나지;;

나중에...; ㅈㅅ;;


도메인그룹은 2003서버를 설치시 기본적으로 제공되는 빌트인 계정들의 그룹이고

도메인 로컬그룹은 새로운 사용자로 등록하여 로컬에서만 사용가능한 계정들이며

글로벌 그룹은 포리스트를 제외한 하위 DC 에서도 사용이 가능한 그룹 & 계정들이며

유니버셜 그룹은 포리스트에서도 통용되는 계정을 나타낸다.


대충 이렇게 이해하자 -_-;;  어렵다 진짜.


그룹을 새로 만들면.. 도메인 로컬 그룹, 글로벌 그룹을 생성할수 있다.

그러나 유니버셜 그룹은 옵션탭이 비활성화 되어져 있는데 이는..  현재 서버가 혼합모드로 운영중이기 때문이다.

혼합모드는 2003서버가 DC로 운영되는데 그 하위의 멤버 서버들이 NT 4.0 버젼이 있을경우때문에

기본으로 셋팅되어져 있는듯싶다. 그래서 이 혼합모드를 기본모드로 업그레이드 시켜주면 유니버셜 그룹을 사용하게

될수 있다.


그러면 계정을 생성하고... 그룹을 만들어보는데

그룹은


퍼미션      - -  퍼미션을 준다(R-read, W-write, C-change)

              ↓

도메인로컬    글로벌 그룹을담고

글로벌       옥주현을 담고

계정        옥주현


실질적으로 도메인 로컬보다 글로벌 그룹안에 멤버가 더 넓은 범위로 사용이 가능하다.

도메인 로컬은 현재 DC 내에서만 사용가능하지만 글로벌그룹은 하위 DC에서도 사용할수 있다. (아닌가? -_-;;)



*** 거듭 강조합니다... 이 내용은 확실하지 않은 정보입니다.. 조심하세요 -_-;;  ***


Posted by 햇 님
OS & TIP/Windows2008. 5. 17. 22:40

자 이제 AD가 설치가 되고 현재 PC는 도메인 콘트롤러가(DC) 되었습니다.
그럼 다음으로 DNS가 설치되었으니.. 설정을 해봐야 겠지요?


0. 내컴퓨터에서 오른쪽 마우스 클릭후 속성창에 들어오면 컴퓨터 이름 탭이 있습니다.
이 탭에 전체 컴퓨터 이름과 도메인이 바뀐것을 볼수 있습니다. 그러나 이게 전부가 아니죠~ ^^

사용자 삽입 이미지


1. 시작 - > 프로그램 -> 관리도구 -> DNS   항목을 클릭하면 프로그램이 나타납니다.

사용자 삽입 이미지


2. 다음과 같은 화면이 나오게 됩니다.
여기서 정방향 조회영역 이란 우리가 웹에서 www.daum.net 을 입력하고 DNS에 왔을때 IP 주소로 변경하는
부분을 나타내는것이고 역방향 조회영역 이란 뭐.. 반대되는 개념이겠죠.. 
IP 주소를 통하여서 주소를(접속하고자 하는 컴퓨터의 위치)
알아내는 영역입니다. 처음에는 정방행 조회 영역만이 default로 셋팅이되어 영역 설정이 되어있습니다.
그래서 먼저 역방향 조회 영역을 추가해 보도록 하겠습니다.

사용자 삽입 이미지


3. 메뉴의 동작 에서 새영역을 선택하여도 되고, 우측의 여백에서 마우스 오른쪽 버튼을 눌러도 새영역을
지정하는마법사가 나타납니다. 앞부부은 넘어가시고 두번째 화면에서 네트워크 IP 를 입력하는 부분이 있습니다.
여기에는 자신의 아이피 주소의 앞의 3자리를 입력하면 되는데요. 이부분이 바로 네트워크 아이디 입니다.
그 뒤부분의 경우는 호스트ID 라고 하여서 여러 클라이언트들 모두가 틀리겠죠~ ^^

사용자 삽입 이미지


4. 다음으로 동적업데이트에 관한 옵션설정부분입니다.
두번째 옵션을 선택하여 줍니다.

사용자 삽입 이미지



5. 다음으로 넘어오면 마침 화면이 나오면서 새 영역을 만들게 되었습니다~

사용자 삽입 이미지


사용자 삽입 이미지

위의 화면과 같이 새로운 역방향 조회영역이 생긴것을 볼 수 있다.


6. 자 그럼 정방향 역방향 모두 되었느냐!?  아니다.. 정방향이 남아있다.
정방향 조회영역 트리를 눌러서 local 도메인이름에 오른쪽 버튼을 눌러 속성창을 열어보자
현재 속성에 동적업데이트 항목이 '보안되지 않음 및 보안됨' 으로 되어있는지 확인해보고 안돼어 있다면
이렇게 변경해주도록 하자 (역방향도 같은 설정으로 해놓았다.)

사용자 삽입 이미지


7. 이제 DNS 설정이 완료 되었다. 그럼 이제 DNS가 사용되는것인가? 아니다..
설정한 DNS는 서비스가 올라오지 않은 상태이기때문에 서비스를 다시 재시작하거나 시스템을 재시작해주어야지
동작하기 시작한다. 컴퓨터를 껏다 키는 번거로움을 피하기위해 서비스 재시작을 하도록 하겠다.

시작 -> 프로그램 -> 관리도구 -> 서비스

에 들어가보면 여러가지 윈도우즈 서비스들을 볼수 있다.

사용자 삽입 이미지


8.

사용자 삽입 이미지


서비스중에 Net Logon 서비스를 재시작합니다. 그러면 DNS서비스가 재 시작하게 됩니다.


9. 시작 -> 실행 -> cmd 를 입력하여 command 창을 띄웁니다.
그리고 ipconfig /registerdns 를 입력하고 Enter~~

사용자 삽입 이미지



10. 이제 DNS가 제대로 동작하는지 확인해보겠습니다. 짜잔~~

command 창에서 바로 nslookup 이라고 명령어를 입력하면 기본 DNS 서버와 주소가 나옵니다.

사용자 삽입 이미지

> 화면에서 멈추어있다면 정상입니다. 그리고 화면에 localhost, 127.0.0.1 이라는 알수없는 문자와 ip가 나옵니다. 아시는분들은 아시겠지만 localhost란 자기자신을 가르키는 말이구요, 127.0.0.1 은 자기자신을 가르키는

IP주소입니다. ^^ 그럼 이부분을 좀더 확실하게 바꾸어보도록 할까요?


11. 내 내트워크 환경의 속성에서 현재 연결되어 사용중인 연결영역의 속성을 보면 인터넷프로토콜을 설정하는
부분이 있습니다. 그곳에서 자신의 DNS 주소를 127.0.0.1 에서 자신의 IP 주소로 바꾸어줍니다.
확인을 누르시면 변경이 되었습니다.

사용자 삽입 이미지



12. 다시 command 창으로 돌아와서 nslookup 명령어를 다시 입력해봅니다.
** 혹시 > (프롬프트) 에서 나오지 못했다면 exit 명령어로 이전의 slookup 에서 빠져나옵니다.

사용자 삽입 이미지


자 어떻습니다. 좀더 명확하게 처음에 내 컴퓨터의 컴퓨터 이름에서 보았던 도메인 이름과.. 자신의 IP가 나타납니다. 이제는 어느곳이든 좋습니다. www.google.co.kr 을 입력해볼까요? 그러면 이렇게

사용자 삽입 이미지


www.google.co.kr 페이지의 IP 주소가 나왔습니다. 여러가지가 있네요. 이 주소들을 한번 익스플러러 창에
입력하고 이동해보세요.. 구글 홈페이지가 나오나요??
음 원하던 페이지와는 조금 다르지만 google 홈페이지로 접속이 됩니다. www.empas.com 으로 해보세요~ ^^

이렇게 해서
DNS 설정을 하고 확인해보는 과정까지 해 보았습니다. 이제 DC 가 된 PC에 여러가지 권한 및
사용자, 사용자 그룹등을 추가하는 여러가지 과정들을 다루어 봐야겠지요?
고건 다음 포스트에~~

====================================================================================

후.. 하루하루 배운양은 많은데 정리하려니 힘드네요
아시다시피...

*** 위 내용들은 절대적으로 제가 이해한대로만 적은것이라.. 참고만 하세요.. 설명이 많이 부족합니다. ***

========================================================================================

08.05.17(토)
이사해 옮겨오면서 다시 글을 읽어보고,
정리를 해보면서 comment로 달아논 위에 글을 보니 새록새록
공부하던때가 생각나네요. 그때 그마음으로 지금도 계속 공부해 나가야겠다고 스스로 채찍질을 해봅니다.

Posted by 햇 님
OS & TIP/Windows2008. 5. 15. 23:59

AD(Active Directory) 승격하기


1. 시작 - 실행 - dcpromo(.exe)  를 입력하교 확인을 누르면 AD 승격 마법사가 나타납니다.

사용자 삽입 이미지


사용자 삽입 이미지

설치 마법사가 실행됩니다.


2. 새도메인 - DC (ㅇ) , 복제 도메인(DC) (X)

사용자 삽입 이미지

이전 버젼에서의 4.0 에서는 PDC 와 BDC 로 나누어진 도메인컨트롤러가 존재하였으나,

2003서버에서는 DC 만이 존재하고 기존 DC에 추가하여 설치하게 되는 옵션이 생겨났습니다.

저희는 처음 설치하는것이기에 새 도메인 컨트롤러로 설치합니다.


3. 새로운 포레스트 (0) , 자식 포레스트 (X), 같은 구조의 포레스트(X)

사용자 삽입 이미지

포리스트는 음... 포리스트라는것 안에 도메인 컨트롤러 및 기타 클라이언트들이 다수 존재하고 이러한것들의

한 묶음이 포리스트라고 하면 될런지 모르겟다. 일단 우리는 새 포리스트에 도메인을 만들도록 한다.


4. 새 도메인의 전체 DNS 이름 -> java + 좌석번호().msft     (.msft 도메인 : 테스트용)

사용자 삽입 이미지


새 도메인이름을 설정합니다. 도메인 뒤에 붙는 .msft 는 상위 도메인이름인데요. 이 msft 라는것은 실제 존재하는

도메인이 아니라 테스트용으로 ms 에서 지정한 도메인 이름이라고 합니다.

실제 실무에서는 .com 이라든가.. .net 등과같은 형태로 쓰이겠죠?

그리고 집에서 쓰신다면 꼭 이름을 java + 숫자 . msft 가 아니여도 됩니다.

마음에 드시는데로 이름을 지으시고, .msft로 가상서버 도메인을 적어주시면 됩니다.


5. 도메인 Netbios 설정 -> JAVA + 좌석번호() -  Default로 셋팅되어있음

사용자 삽입 이미지


NetBIOS 이름을 설정하는 화면입니다. NetBIOS는 현재 AD 설치중인 컴퓨터가 네트워크상에 어떤 이름으로

보여지게 되는지 나타내는것입니다.

( NetBIOS 이름은 자신의 컴퓨터이름으로 기본값으로 설정이 되어져 있다.)


6. NTDS 저장폴더 설정 (기본으로)  (NTDS는 계정정보를 가지고 있다.)

사용자 삽입 이미지


NTDS는 AD로 2003 서버를 승격하면서 기존의 2003 서버의 사용자들의 계정정보들 sam파일에서

가져와 저장하는 폴더입니다. 임의로 수정이 가능합니다만 Default 경로를 쓰시길 권장합니다~ ^^


7. GPO(그룹정책) 이 저장되는 폴더를 지정 (기본으로)

사용자 삽입 이미지


그룹정책에 관한 내용을 저장하는 폴더를 지정합니다.  위와 마찬가지로 Default 권장합니다.


8. 기본 DNS로 설정 (2번째)

사용자 삽입 이미지


저희는 도메인을 구성한적이 없기 떄문에 2번째 옵션으로 설치하도록 하겠습니다.


9. 사용 권한을 지정합니다.

사용자 삽입 이미지


저희가 실습할때는 모두가 Windows2003을 설치한 상태였기에 두번째 옵션을 선택하였습니다.

NT 4.0 과 같이 2000 이전버젼의 서버운영체제와 혼합하여 사용할때는 첫번째 옵션으로 선택합니다.


10. AD가 깨졌을경우 복원모드 암호지정 (pw: ---)

사용자 삽입 이미지


11. 지금까지의 설정을 확인하고 AD를 올립니다~~ ^^

사용자 삽입 이미지



사용자 삽입 이미지


설치화면입니다.  설치가 완료 되면 시스템 재시작을 요구하는 메세지가 나오며, 시스템을 재시작 하면
로그온 방식 및 로그온시 관리도구의 메뉴가 조금 변경된것을 알수 있습니다~

DNS 설정 및 확인은 다음 포스트에~ ^^

----------------------------------------------------------------------------------------------------

후우.. 네이버에서 이곳으로 블로그글 이사중인데..
제가 무식해서 그런지.. 복사해서 붙이고 내용을 조금씩 수정중인데..
힘드네요 ㅎㅎ;; 하루에 하나씩은 옮기도록 노력해봐야할거같아요..

Posted by 햇 님
OS & TIP/Windows2008. 5. 14. 19:09

2003 서버를 쓰신다면.. 종료시에 이벤트 추적기가 활성화되고
종료하게 되는 이유를 남겨야하는 불편(?)이 있는데요
요것을 한번 비 활성화 해보도록 합시다.

먼저 시작에서 실행을 선택하고 gpedit.msc 라고 입력합니다.

사용자 삽입 이미지


확인을 누르면 그룹정책 개체 편집기 화면이 나옵니다.

사용자 삽입 이미지


컴퓨터 구성 탭에서 '관리 템플릿' - '시스템' 항목을 선택하게 되면

사용자 삽입 이미지


위와같은 화면이 나오구요 그중에서 '시스템종료 이벤트 추적기 표시 항목을 더블 클릭해줍니다~

사용자 삽입 이미지


여기서 '구성되지않음' 이라고 표기된 라디오버튼을 '사용 안함' 으로 변경하고 확인을 누릅니다.

사용자 삽입 이미지



자.. 이제 변경되어서 '사용안함' 으로 표기된걸 확인하셨으면
Ctrl + Alt + Del 키를 눌러서 메뉴를 불러오구요. 시스템 종료를 해봅시다!
어떠신가요? 이제 종료 이벤트가 나오지 않죠?  수고하셨습니다~ ^^

Posted by 햇 님