Windows Server #6

홈 폴더와 로밍 프로파일 

1) 홈 폴더

   홈 디렉터리나 홈 폴더는 Linux에서의 home directory와 유사하게 로그온한 사용자의 문서를 저장할 수 있는 네트워크 서버 내의 저장소이다. 사용자 문서의 백업 중앙화, 다수의 클라이언트 머신에서 홈 폴더에 접근 가능, 그리고 모든 버전의 Windows, MS-DOS에서의 접근 가능 등의 장점이 있다.

 

2) 사용자 로밍 프로파일

  프로파일은 사용자별로 적절히 설정된 환경을 제공하는데 사용자의 데스크 탑, 프로그램 설정 등을 사용자에 맞춰서 자동으로 실행되게 한다. 모든 사용자들은 관리자의 간섭 없이 컴퓨터에 로그온 할 때 자동으로 생성되는 기본 프로파일을 가지고 있다. 프로파일은 각 사용자가 로그 온/오프 시 동일한 설정을 가지게 하고, 데스크 탑 변경의 영향을 받지 않으며, 서버에 사용자 프로파일이 저장되어 있으면 어느 Windows 버전에서도 로그온 할 때 동일한 프로파일을 볼 수 있다.

 

  프로파일에는 로컬 컴퓨터의 하드디스크에 저장되어서 로컬에서만 적용되는 Local Profile, 관리자가 서버에 생성해서 사용자가 어디서나 로그온할 때 동일하게 적용되는 Roaming Profile, 그리고 사용자가 바탕화면 등을 변경하지 못하게 하는 관리자만 설정할 수 있는 Mandatory Profile이 있다. 

∎ 로컬 프로파일 : 로컬 프로파일은 사용자가 최초로 로그온할 때 로컬 컴퓨터에 생성되어 Default User 폴더 내에 컨텐츠가 저장된다. 사용자가 도메인 계정과 로컬 계정 두 가지를 가지고 있으면 둘 다 사용할 수 있다. C:\Users 폴더에 저장된다.

∎ 로밍 프로파일 : 이 설정은 여러 머신을 사용하는 사용자에게 어느 머신에서 로그온하던간에 각 머신에서 동일한 설정이 적용되게 한다.

 

  보통 서버에서 C:\RProfiles식으로 공유 폴더를 생성하고>홈 폴더를 생성하듯이 각 사용자 계정의 사용자 속성에서>프로필 탭으로 가서>프로필 경로를

\\WIN_SER1\RProfiles\%Username%식으로 써준다>그리고 우클릭>공유>사용자로 Users를 넣고 ‘공동 소유’로 해준다. 이 폴더를 그룹이나 OU에 공유시켜도 된다>이제 확인해서 나가면 데스크탑 사용자 설정이 복사되고 서버에 저장되어 어디서나 접속하면 자신만의 바탕화면을 볼 수 있다.

 

  GP(Group Policy)

  관리자는 GP를 통해서 AD 내의 사용자나 컴퓨터에 대해서 일괄적으로 어느 정책을 부여할 수 있는데 사용 가능한 프로그램만 지정해서 사용을 제한하거나, 로그온 시 바탕화면 등이 일괄되게 적용되게 하거나, 제어판을 사용자들이 조작하지 못하게 하거나, IE를 숨기거나, DVD/USB를 사용하지 못하게 할 수 있다.

 

▪ 그룹정책(GP)을 생성한 뒤에 그 그룹정책들을 묶은 객체가 GPO(GP Object)이다.

▪ GPO는 사용자와 컴퓨터에 대해서 적용할 수 있다. 예를 들어서 학교에서 학생들 컴퓨터와 교 직원 컴퓨터를 각각 따로 관리되도록 GP를 적용할 수 있다.

▪ 사용자 GP와 컴퓨터 GP가 충돌하면 컴퓨터에 대한 GP가 우선한다.

▪ GP는 여러 도메인에서 같은 기준으로 설정될 수 있다(GP는 복사나 이동이 가능하다).

▪ GP는 도메인 단위로 GC(Global Catalog)에 저장된다. Windows Server 2008에 내장 된 GP는 현재 2,000개가 넘고 계속 늘어나는 추세이다.

▪ 여러 GPO가 있을 때 local GPO >site GPO >domain GPO >OU GPO 순서로 적용된다. ▪ 일반적으로 학생, 컴퓨터, 프린터, ..를 OU로 구분한 뒤 각 OU에 GP를 적용시킨다. OU는   GP를 걸 수 있는 최소 단위이다.

▪ GP는 폴더처럼 상속 개념이 있어서 부모에게 정한 GP는 자식에게 GP 정책이 상속된다. 하지 만 역시 상속에서처럼 GP의 상속을 재정의하거나 차단할 수도 있고, 강제로 상속 시킬 수도 있다.

▪ GP가 반영되는 시점은 사용자가 로그온 할 때, 컴퓨터를 재부팅 할 때, 사용자가 강제로 그룹정책을 갱신할 때(gpupdate /force), 그리고 정책을 갱신하는 주기적인 시간(90분)이 되었을 때이다.

▪ 생성한 GPO는 C:\Windows\SYSVOL\sysvol\kahn.edu\Policies 폴더에 저장된다.

▪ GP는 도메인에 적용되기 때문에 로컬 컴퓨터나 사용자 계정에는 개별적으로 적용되지 않는다.

▪ GP를 제거하려면 시작>관리도구>그룹정책>좌측창에서 해당 OU를 선택하고>우측창에서 해당 정책을 우클릭한 뒤>삭제를 클릭하면 삭제된다. 메시지 창에서 확인을 클릭한다. 

 

  관리자는 GP를 통해서

◼ 보안설정 : 보안 강화를 위해서 도메인의 모든 사용자에 대해서 사용자의 암호 및 계정 잠금 방식 등을 지정할 수 있다.

◼ 스크립트 지정 : 사용자의 로그온/로그오프 시, 또는 컴퓨터 부팅/종료 시 자동으로 실행 되는 스크립트를 지정할 수 있다.

◼ 폴더 리디렉션 : 사용자가 도메인내의 어느 머신에서 로그온 하더라도 자신의 설정이나 폴더가 동일한 환경으로 지원되게 하는 home folder나 roaming profile 방식 등을 지정할 수 있다.

◼ 소프트웨어 설정 : 도메인 사용자들이 사용할 소프트웨어에 대해서 설치, 삭제, 백업, 업데이트 등을 일괄 적용시키는 일 등을 수행 할 수 있다. 특정 사이트 규제, 바탕화면이나 제어판 변경 금지 등도 가능하다.

◼ 하드웨어 제한 : USB, DVD, FDD 등을 사용하지 못하게 할 수도 있다. ZIP driver 등을 물리적으로 제거하지 않아도 GPO로 규제할 수 있다.

 

  변경된 그룹정책은 바로 적용되지 않고 90분마다 적용되기 때문에 조금 기다려야 할 수도 있지만, 그룹정책이 적용되는 머신에서 콘솔을 열고 gpupdate /force 하면 바로 적용된다.

OR 그룹정책 창에서 Default Domain policy 마우스 우클릭>편집>그룹정책 편집기에서 컴퓨터 구성->정책->관리 템플릿->시스템->그룹정책 항목을 클릭하고 우측창에서 ‘컴퓨터에 대한 그룹정책 새로 고침 간격’ 속성창에서 갱신 기간을 별도로 설정해줄 수도 있다.

 

  그룹정책은 강제로 적용되고 사용자가 변경할 수 없다. 하지만 기본설정은 이와 다르게 설정한 내용이 그룹정책으로 적용은 되지만 사용자가 변경할 수 있는 항목들이다. 예를 들어서 시작>관리도구>그룹정책 관리>좌측 창의 사용자 구성>기본 설정>제어판 설정>인터넷 설정으로 가서 변경을 해주고>IE의 보안 탭에서 보면 이 설정이 반영되어 있다. 사용자가 기본설정을 변경할 수 있다는 의미이다.

 

  Audit(감사) 정책

  감사라는 것은 사용자의 작업이나 시스템의 활동을 추적하고 감시하는 일이다.

  감사 정책은 관리자에게 통지할 이벤트를 지정해서 해당 이벤트가 발생되면 그 내용을 기록하는 시스템이다. 관리자는 이런 이벤트를 모니터링하고 문제를 파악해서 시스템에서의 문제 발생 소지를 미리 차단할 수 있다. 일종의 Linux에서의 Log 파일 검토와 같은 경우로 볼 수 있다.

 

  이벤트의 종류는 계정 로그온, 계정 관리, 디렉터리 서비스, 로컬 로그온, 개체 액세스, 그룹정책 변경, 권한 변경/사용, 프로세스 추적 이벤트 등을 설정할 수 있다. 하지만 이벤트 종류가 너무 많기 때문에 필요한 이벤트만 추려서 감사하는 식으로 운영한다.

  각 이벤트는 하위 이벤트 목록을 가지고 있는데 예를 들어서 특정 파일/폴더에 접근한 사용자 계정이나 사용자가 사용한 컴퓨터에 로그온/로그오프 시간, 정책 변경과 적용 시간 등의 기록을 모두 볼 수 있다.

=>감사정책을 통해서 외부 공격을 찾을 수 있고, 외부 공격에 대한 피해를 확인할 수 있으며, 향후 피해를 예방하는 정책을 수립할 수 있고, 시스템이 더 이상 성능 저하가 없게끔 유지할 수 있다. 

 

  Windows 배포서버(Windows Deployments Service : WDS)

  WDS를 구성하면 조직의 네트워크 안의 OS가 없는 호스트들이 Windows OS를 설치할 때 설치 DVD가 없어도 자동 부팅 및 설치를 진행할 수 있다. 이를 무인설치(Unattended Installation)라고 하는데 WDS를 통한 네트워크 기반 운영체제 설치는 Windows 이미지를 클라이언트에게 배포하는 기법이다. 설치할 호스트의 디스크 파티션과 포맷, 운영체제 설치 및 구성 등을 수행함으로써 설치의 단순화와 조직 전체에 일관된 작업환경 구성 등을 이룰 수 있고, 효율적인 자동설치를 통한 비용과 설치시간 대폭 절약 등의 효과가 있다.

 

  WDS를 위해서는 다음 세 가지가 필요한데 

▪ WDS 서버에는 네트워크로 클라이언트를 부팅하게 하는 PXE 서버, 네트워크로 파일을 전송시키기 위한 TFTP(Trivial FTP) 서버, 부팅 이미지(boot.img), 운영체제 설치 이미지(ios), 공유폴더(네트워크 부팅에 필요한 파일 포함)가 필요하다.

  DHCP 서버로부터 IP 주소, 서브넷마스크, 게이트웨이, DNS, DHCP 주소를 모두 얻어오고 그 외에 수동으로 설정해야 하는 작업그룹과 호스트_명은 배치파일로 응답파일(answer file)을 만들어서 할당해줄 수 있다.

▪ 클라이언트에는 사용자가 운영체제를 선택하면 네트워크상에서 서버 구성 요소와 통신하면서 운영체제가 설치될 수 있어야 한다.

▪ 관리 구성요소는 서버와 클라이언트를 관리하는 도구 모음이다.

 

  Windows 배포서버를 설치할 때에는

AD 서버에 DNS와 DCHP 기능이 활성화되어 있어야 하고,

클라이언트 호스트들은 AD의 도메인에 속해야 하며, NTFS 파티션으로 되어 있어야 한다.