4일차 "AD 사용자 및 컴퓨터" 관리, 도메인 생성.

# Organizational Unit 생성하기

생성된 DC(Domain Coponent) ittank.com에서 조직구성단위를 클릭하여 OU를 생성한다.

# OU 안에 또 다른 OU 만들기

# OU는 1) 부서별 / 조직별 / 지역별로 만들 수 있다. 또한 2) 조합 형으로 이 모든 OU를 또다른 OU안에 넣어서 관리가 가능하다. 이렇게 관리하는 이유는 중앙에서 한 명의 관리자가 모든 하위 컨테이너 집단들을 관리하기가 힘들기 때문에 권한을 위임한 것이라고 볼 수 있다.

# OU 삭제하기 (기본적으로는 삭제하지 못하도록 되어있다.)

실수로 삭제되지 않도록 개체 보호를 체크해제 하면 OU를 지울 수 있게 된다.

# MMC(Micorsoft Management Console)
관리도구를 원하는 데로 설정하여 사용할 수 있도록 도와주는 관리툴로 local의 기능들 뿐만아니라 원격지, 즉 같은 네트워크단의 컴퓨터들도 여기서 모두 관리할 수 있다.
*.msc와 같은 확장자명을 쓰는 명령어들은 모두 mmc를 통하여 실행된다. 목적은 관리작업의 통합과 표준화 제공이다.

# MMC로 관리설정 추가하기. ( local / 도메인 )

# Local(접속하는 내컴퓨터)에 추가하려면 로컬 컴퓨터를 체크하면 되고, 같은 네트워크단의 컴퓨터와 연결하려면 netbios형식(sysdm.cpl시 나오는 컴퓨터 이름)으로 진행한다.

내 컴퓨터 번호는 VM12번이었다. 그래서 옆에 있던 VM11번을 입력하여 같은 도메인의 컴퓨터에 직접 연결했다. DNS는 기본적으로 netbios의 호스트네임이 저장되어 있다. 그래서 netbios 이름을 논리적주소로 바꿔 연결해준다.

콘솔의 실행방법은 compmgmt.msc를 이용하거나 시작에서 찾아가면 된다.

# computers 컨테이너에 있는 계정정보를 OU로 옮기기
먼저 시작 > 관리 > AD 사용자 및 컴퓨터로 들어가거나 실행 > dsa.msc 로 "AD 사용자 및 컴퓨터"를 연다.

# 기본적으로 Computers에는 그룹정책이 없지만 다른 곳으로 옮길 시 그룹정책이 바뀔 수도 있기에 경고창이 뜬다.

OU안에 있는 계정정보의 객체를 옮기는 것은 위의 2가지 방법이 있다. 첫번째는 drag & drop이고  두 번째는 오른쪽 버튼->이동에서 옮길 위치를 선택하는 것이다.

# 도메인 사용자 계정 표현방법 (계정 생성시 쓰임)

DN (LDAP) - Lightweight Directory Access Protocol)
기존 DN(Distingushed Name)은 복잡하여 연산에 시간이 많이 걸려서 오늘날에는 간소화되었다.

DN은 안에서 밖으로 나가는 과정이다. 즉 계정명인 admin을 쓰고, 계정이 담긴 OU를 쓴다. OU를 보면 win부터 쓰고 상위 계층인 os를 쓴다. 그리고 마지막으로 DC (Doman Componet)를 쓴다. 

 
common name , Organizational Unit, Domain Component (Domain Controller가 아닌 구성이다)

# 사용자 계정 명령어로 만들기
CN=Admin,OU=Win,OU=OS,DC=ITBANK,DC=COM
CN=Lroot,OU=Lin,OU=OS,DC=ITBANK,DC=COM
CN=Uroot,OU=Uin,OU=OS,DC=ITBANK,DC=COM
CN=CDev,OU=C,OU=LAN,DC=ITBANK,DC=COM
CN=JDev,OU=JAVA,OU=LAN,DC=ITBANK,DC=COM

띄어쓰기는 절대하면 안됨!! CN (유저정보), OU (조직구조), DC(도메인 구성정보)

OU에서는 띄워쓰기도 사용할 수 있기에 "_" 띄워쓰기는 사용하지 않는다.
"CN=JDev,OU=JAVA,OU=LAN,DC=ITBANK,DC=COM"
위와 같이 띄워쓰기를 사용할 경우 "" (double quatation)을 사용한다.

명령어를 사용하여 작업시 " 명령어_인자_인자 " 와 같이 띄워쓰기로 명령어와 인자값을 구분하는데 
"Server Admin"과 같은 CN(계정명)이 존재 할 수 있기 때문에 ""을 사용하여 인자값과 명령어를 구분지어 준다.

또한 DN은 또한 공인 인증서에도 쓰인다.

# 사용자 계정 암호의 주의점 4가지
암호의 복잡도 - 알파벳 소문자, 대문자, 특수문자, 숫자 등을 3가지 이상 조합하여야 한다.
최근 암호 기억 - 총 20개까지의 history를 보관하며 중복되는 암호는 사용할 수 없다.
최대/최소 암호사용 기간 - 최대 42일 동안 보관하며 최소 하루 이상은 암호를 유지하여야 한다. 최소 암호사용 기간을 정한 것은 지정된 20개의 history를 모두 채우고 또 다시 같은 암호를 사용하는 것을 방지하기 위해서이다.
최소 암호사용 길이 - 윈도우는 최소한 7자리 이상의 암호를 요구한다.

# 암호를 뚫는 기법
bruteforce(무차별대입공격) - A~Z까지 차례대로 비교한다. 알파벳 대/소문자와 숫자, 특수문자들을 모두 합쳐 72개정도가 있다면 72^7자리를 계산하면 약 10,030,613,004,288 개인데 암호를 해독하는데 약 318068 년이 소요된다. 그러나 오늘날에는 연산기능을 담당하는 하드웨어들의 성능이 발달하면서 해독하는 시간이 많이 줄어들었기에 서버의 경우 암호를 반드시 변경하여야만 진행할 수 있도록 되어있다.