6일차. 템플릿(계정복사),

 # 도메인 템플릿 설정
먼저 "sda.msc"나 "시작>관리>AD 컴퓨터 및 사용자관리"로 들어가서 이전에 만든 hangain을 수정한다.

계정을 제외한 나머지 부분들을 모두 채워준다. 

 저장된 계정을 "계정사용안함"을 체크해제하고 개체복사한다.

 # 주소 부분의 복사 여부를 체크한다.
외국의 경우 덩치가 크기에 국가/시/구는 모두 동일하게 global area로 생각하고 상세주소 부분만 다른 부분으로 여긴다.

# 로그온 시간
템플릿(개체틀 복사)로 만들어진 정보에서 [계정]탭에 들어가보면 로그온 시간이 있다.
여기서 네트워크 및 로컬 컴퓨터 접근 시간을 설정해 줄 수 있다.

 로그인 전에 먼저 귀차니즘을 방지하기 위해 다음 로그인시 비번해제한다.

[UNIX Attributes] 는 unix,linux는 SID를 안쓰기 때문에 호환시에 지원하도록 설정하는 것이다.

 

 

 

\\\\\\\\\\\\t 서버 t\\\\\\\\\\\\\
# DC 컴퓨터에서 gpmc.msc 설정하기
groub policy management console은 Data controller를 생성시 만들어지는 것이다.
Default Domain Policy를 우클릭해서 편집>그룹정책관리 편집기 -> 정책 > windows설정>보안설정>계정정책
컴퓨터-부팅시부터 적용되는 옵션값
계정 - 로그인시부터 적용되는 옵션값

정책을 바꾼다고 바로 적용되지는 않는다. 적용사항을 재부팅없이 바로 확인하려면 밑에 있는 강제 정책 업데이트 명령어를 수행한다.

계정사용안함과 계정잠금해제는 다르다. 계정잠금해제는 정책에 의해서 사용이 중지된 계정을 사용가능하게 해주는 것이다.

# 보안정책보기
cmd > secpol.msc  -security policy

# 강제 정책 업데이트
cmd > gpupdate /force  //정책을 강제로 업데이트함(groub policy update)

자원을 보호하기 위해서 쓰는 것이 계정관리이다.

컴퓨터계정이란?
내 도메인 내부의 컴퓨터인지 식별하기 위해 사용하는 ADDS 객체이다.
인증할 때, 감사할 때 사용한다.

---------------------

컴퓨터 계정 - 사용자 계정
인큐베이터      아바타

ADDS의 3가지 객체 찾기 방법
1. sort
속성창을 직접 클릭해서 정렬하는 방식이다. 아래에 보이는 방법으로 속성수를 늘려줄 수도 있다.

위에 보이는 보기>열 추가/제거에서 정렬할 수 있는 속성수를 늘려줄 수 있다.

2. search (마우스 오른쪽 찾기)
찾기 옵션은 AND 논리연산이다.
1x0 = 거짓
0x0 = 거짓
1x1 = 참


3. dsquery
cmd > dsquery user -desc 연습용*

 

 1. 자신의 OU안에 COM, USER, TEMPLATE OU만들기
  - 각각 ou에 맞게 계정 이동

 2. dsadd 명령을 이용해서 일반 사용자 계정만들기(USER ou안에)
  - TESTERXX (컴퓨터 번호)
  - 부서:(관리부or교육부) 자신의 부서에 맞게
  - 처음 로그온시 password 변경옵션 yes
  - 비밀번호 P@ssw0rd10
  - upn설정
 cmd> dsadd user "cn=,ou=,dc="

 3. 생성된 일반 사용자로 로그온하기
  runas 이용하여 도메인의 관리자 권한으로 짝의 계정변경
  C:\>runas /user:administrator@ittank.com "mmc dsa.msc"
  - 짝의 계정을 대상으로 로그온 시간 설정하기
  - 10시~1시만 로그온 가능하게 설정

 4. 저장된 쿼리를 이용해서 교육부/관리부 계정 찾기 쿼리저장

- 빠른 설정( linux의 su root와 동일하다. shell이나 설정값들은 가져오지 않고 권한만 가져온다. setGID(2000), set UID(4000)와 유사하다. su - root는 권한도 가져옴