Windows Server #5

서울 kahn.edu 도메인에 가입된 win7-1 머신에서는 win7-1/administrator해서 로컬로 로그인이 가능하고, administrator@kahn.edu(OR KAHN\administrator) 해서 자신이 속한 도메인으로 로그인 가능하지만, administrator@pusan.kahn.edu식으로 도메인끼리 트러스트 관계가 맺어져 있는 부산 도메인으로 로그인도 가능하다.

=>서울이든 부산이든 각 도메인에 속한 어느 워크스테이션에서 어느 도메인으로도 로그인 가능하다!! 이런 경우 각 도메인에 속한 워크스테이션은 단말기에 불과하다.

 

  이제 Windows 서버로 구성된 도메인에 CentOS Linux 머신을 워크스테이션으로 가입해본다.

이를 위해서 Windows 시스템에서 Linux 시스템을 인증할 수 있도록 먼저 Kerberos 서버를 구축한 뒤 작업해 주어야 한다.

  CentOS 7부터는 Windows 도메인 정보를 명령어로 보게 하는 adcli(active directory cli) 대신 realmd를 사용한다. SSSD(System Security Services Daemon)는 원격 디렉터리 접속과 인증을 담당해주는 데몬이다.

 

  MMC(Microsoft Management Console)는 도메인을 관리하기 위해서 필요한 여러 도구들(각각을 snap-in으로 부름)을 한 곳에 모아놓은 관리 콘솔이다.

 

  각 도메인에서 다른 도메인을 관리할 수 있다.

 

  OU(Organization Unit)

  AD에서 OU는 도메인 내에서 각 자원(프린터, 컴퓨터, 관리자, 사용자들, ....)을 분류하는 최소 단위로 OU를 AD의 Container라고 부르기도 한다.

  AD에서 사용자를 관리하려면

시작>관리도구>AD 사용자 및 컴퓨터 메뉴에서 관리할 수 있다. Windows Server에서 사용자 계정은 두 가지인데

▪ 로컬로만 접근할 수 있는 '로컬 사용자 계정'은 해당 로컬 호스트에만 로그인이 가능하고

▪ AD 도메인에 접근할 수 있는 '도메인 사용자 계정'으로 나뉜다.

 

  도메인 사용자 계정은 도메인에 가입된 어느 워크스테이션에서라도 로그인이 가능하다.

  예를 들어 paul 사용자가 KAHN 도메인으로 들어가게 되면 

NetBIOS Name(디폴트) : KAHN\paul

UPN Name : paul@kahn.edu

Distinguished Name : CN=paul, OU=조직구성단위_이름, DC=kahn, DC=edu

Relative Distinguished Name : CN=paul(OU 안에서만 사용 가능)으로 나뉜다. 여기서 CN은 Common Name, OU는 Organizational Unit, DC는 Domain Component이다. 예를 들어서 Linux 머신에서 LDAP와 같은 인증 서버에서 Windows 사용자를 인증하려면 이런 식의 CN, DC, ...등을 이용해서 인식한다.

 

  OU와 Group을 자주 혼동하는데

▪ OU는 AD 내의 여러 객체를 포함하는 AD 컨테이너로써 도메인 내에서 사용자, 컴퓨터, 프린터, 그룹, 다른 OU를 포함할 수 있다.

▪ Group은 사용자만 넣을 수 있고, 권한을 부여받을 수 있어서 OU와 다르다.

 

=>일반 도메인 사용자를 생성했어도 일반 사용자는 서버에 바로 로그인이 불가하고, 워크스테이션을 통해서 로그인이 가능하다.

 

  Windows DC에서의 Group

1) 그룹 일반

  Windows Server에서의 그룹 적용 순서는

a. 그룹을 생성하고

b. 그룹에 권한(읽기, 쓰기, 실행)을 주고,

c. 해당 권한을 가져야 하는 사용자들을 그룹에 넣는다.

=>이렇게 하면 해당 사용자들은 해당 그룹에 주어진 권한으로 작업을 수행할 수 있다.  

d. 도메인의 그룹에는 domain local, global, 그리고 universal group이 있는데 

<- local group은 도메인이 아니라 로컬 호스트에 있는 그룹이다.

==>이렇게 다양한 그룹을 생성하는 이유는 어느 도메인의 사용자들이 들어와서 다른 도메인의 자원을 이용하게 하기 위함이다.

▪ Domain Local group

자원 : 해당 도메인(kahn.edu) 로컬 그룹을 생성한 도메인의 자원(kahn.edu) 이용

사용자 : 어느 도메인(pusan.kahn.edu)의 사용자도 사용 가능

=>같은 도메인에 있는 사용자나 컴퓨터, 그리고 같은 도메인에 있는 다른 글로벌 그룹이 가입될 수 있다.

▪ Global group

자원 : 해당 도메인(kahn.edu) 이외의 도메인의 자원(pusan.kahn.edu) 이용

사용자 : 해당 글로벌 그룹을 생성한 도메인(kahn.edu)의 사용자만 사용 가능

=>모든 도메인의 사용자나 컴퓨터, 모든 도메인의 글로벌 그룹과 유니버셜 그룹, 그리고 같은 도메인의 다른 도메인 로컬 그룹이 가입될 수 있다.

▪ Universal group

자원 : 모든 도메인의 자원 이용

사용자 : 모든 도메인의 사용자가 사용 가능

=>모든 도메인에 있는 사용자와 컴퓨터 계정, 모든 도메인의 글로벌 그룹이 가입될 수 있다.

<= 자원과 그룹, 사용자 문제가 있을 때 급하게 편하게 처리하느라고 이들을 글로벌 그룹으로 만들어 두는 경우가 있는데 반드시 나중에 제대로 조절해 두어야 한다!!! 신중히 생성하고 사용되어져야 한다.

▪ Local group : 로컬 호스트 머신에서의 그룹으로써 도메인과 전혀 무관하다

자원 : 해당 머신의 자원만 사용

사용자 : 해당 로컬머신의 사용자만 사용 가능

 

  예를 들어 pusan.kahn.edu의 pusan1 사용자가 서울 메인 kahn.edu에 있는 데이터(자원)을 이용한다면,

1) 자원이 서울에 있으므로

서울 kahn.edu에서 domain local 그룹을 만들면 서울 직원도 당연히 kahn.edu 도메인에 있는 자원을 이용할 수 있고, pusan.kahn.edu의 pusan1 사용자도 들어올 수 있어서 이 kahn.edu 자원을 이용할 수도 있다.

2) 부산 pusan1.kahn.edu 도메인에서 global 그룹을 만들어서 이 pusan1 사용자를 넣으면 서울의 kahn.edu의 자원을 이용할 수 있다.

==>쉽게 기억하려면 서울에 자원이 있을 때

서울에서는 domain local group을 생성해서 서울의 seoul1 사용자와 부산의 pusan1 사용자를 넣거나

OR 부산에서는 global group을 생성해서 부산의 pusan1 사용자를 넣어서 글로벌하게 보내서 서울 자원을 사용하게 한다.

 

  그리고 자원이 공유되면 공유 폴더의 권한으로 인해서 한 사용자는 여러 그룹에 가입될 수 있는데 이 사용자의 최종 권한은 누적(accumulated) 되지만, 어느 하나에서라도 deny가 있으면 모든 그룹에서의 권한은 거부가 된다.  

=>공유된 파일/폴더에 대한 네트워크 접근에 대한 공유 권한과 로컬에서 접근할 때의 NTFS 권한과 더불어 한 사용자가 여러 그룹에 가입되었을 때의 권한 누적(그리고 deny)를 잘 알아야 한다. 그리고 파일과 폴더, 그룹에서는 상속(inherent)의 개념도 있어서, 자식은 부모 권한을 상속받거나, 상속을 거부해서 자식만의 권한을 가질 수도 있다. 

 

  Universal 그룹

  이 유니버설 그룹은 서울 도메인에서 생성했지만 서울 사용자와 부산 사용자를 모두 넣을 수 있고(domain-local 그룹), 서울 리소스와 부산 리소스를 모두 넣을 수 있어서(global-group) 보안이 전혀 없기 때문에 잘 사용하지 않아서 실습도 생략한다. 

 

  하나의 도메인 내에서 작업할 때에는 주로 Active Directory 사용자 및 컴퓨터에서 작업하고, 서울과 부산 등 여러 도메인에 걸친 작업을 할 때에는 Active Directory 도메인 및 트러스트에서 작업한다.

 

==>일일이 그룹을 생성해서 작업하지 않고 필요하면 Windows Server 2008에서 기본적으로 제공하는 내장 그룹이 있는데 여기에 사용자를 넣어서 공유폴더 자원과 매치해주면 간편하게 작업할 수도 있다. AD 사용자 및 컴퓨터에서>Users로 가면 내장 그룹들을 볼 수 있는데

◼ 기본 로컬그룹 : administrators, backup operators, DHCP administrators, quests, network configuration operators, performance monitor users, power users, print operators, remote desktop users, users와

◼ 기본 도메인 로컬 그룹 : account operators, administrators, backup operators, cryptographic operators, event log readers, IIS_USRS, server operators, DnsAdmins이 있다.