8일차. 그룹의 기능, Access Controll List(ACL)

# vmware 자동화면 맞춤
VMware > edit > preferences
 

\\\\\\\\\\\\\\\\\\\\\\\

DC서버에서 qpmc.msc로 그룹정책에 들어가서보면 그룹이 나와있지 않고 OU폴더로만 구성되어있다.

이는 그룹정책 기본 권한이 OU이상기 때문이다. OU < DC(domain component)

 

그룹 정책 설정을 그룹에 직접적으로 적용할 수 없으나, OU에 집어 넣어서 간접적으로 설정할 수 있다.

# 기본적으로 설정되는 디폴트 그룹
builtin - 미리 만들어진 것이고
users - 도메인에 쓰이며 계정정보를 생성해 놓은 것이다.


release는 보안업뎃등으로 bugfix를 하는 것이다.

# 도메인 기능수준
도메인 내의 모든 서버의 수준을 맞춰주는 것이다.
2000으로 fix시 2000의 기능으로 모두 맞춰준다. 동일 도메인 내의 상위버전서버들은 2000으로 맞춰지고 낮은 서버들(nt3.0이나 NT4.0 등)은 모두 빠져나간다.
2000 Native는 버리고 2000을 쓰는 것이고 mixed는 하위버전의 기능들도 사용하는 것이다.
2000 native는 유니버셜, 그룹중첩, 그룹변경 기능이 추가됨

Desktop.zip-- 지금까지 실습문제

You are the network administrator for your company.
The network consists of an Active Directory forest that contains two domains named Asia and Europe.
The functional level of both domains is windows 2000 native.
The company has multiple offices in Europe and Asia. User accounts are organized in the domains based on the user's geographical

location.
The company uses Microsoft Exchange 2000 server for e-mail. A group named Sales is used to send e-mail messages to the users in the

sales department.
You need to configure the Sales group so that it can include users in the Europe domain. You also need to configure the Sales group so

that it can be used to control access to network resources. In addition, you need to add to the Sales group a user named Barbara Decker,

who is a new employee in the sales department.
What should you do?

hint 1 - sales 그룹은 asia 소속이다. (소속그룹을 aisa로 만들고 asia로 된 그룹을 찾아 등록해준다.)
hint 2 - sales 그룹은 global 그룹이다.

해법
1. sales그룹을 보안/ 유니버셜로 바꾼다.
2. 그룹의 소속그룹을 "유럽"을 추가한다. (europe은 다른 도메인이므로 global로 해야 소속그룹에 넣을 수 있다)
3. useradd user "cn=Barbara Decker,dc=asia" -dept sales -pwd P@ssw0rd

# ADDS에 대한 접근권한 관리
ADDS는 ACL(access controll list)를 통하여 컴퓨터, 계정, 그룹들이 컴퓨터자원(파일, 폴더)을 이용하는데에 제한을 걸어줄 수 있다.
일반적으로 white list가 주로 쓰이며 이는 선택된 리스트의 권한만을 이용하고 나머지는 다 default로 사용안하는 것을 말한다.

- ACL의 white list 선택의 종류 -
명시적 선택 - 직접 입력하여 권한을 부여한다.
암시적 선택 - 기본적으로 거부한다.(default)

# 보안주체
인증에 사용할 수 있고 자원에 대한 권한을 부여할 수 있는 사용자, 컴퓨터, 그룹의 객체.

SID는 하얀색의 도메인 ID(Domain ID) 부분과 RID(Relative ID)로 나눌 수 있다.

C:\Users\403-10>whoami /user
사용자 이름      SID
================ ==============================================
403-10-pc\403-10 S-1-5-21-3657193521-3768644178-1835480509-1000 (유저) //500 (관리자)\ RID

\\\\\\\\\\ vm에서
C:\>runas /user:tester12@ittank.com cmd
tester12@ittank.com의 암호 입력:
cmd을(를) 사용자 "tester12@ittank.com"(으)로 시작하려고 합니다...

사용자 이름     SID
=============== =============================================
ittank\tester12 S-1-5-21-345119944-2349081884-3154239594-1397

# Access Control list
ACL은 DACL(Dynamic ACL)과 SACL(system ACL)로 나눌 수 있다.
DACL - 퍼미션 정보에 대한 관리(컴퓨터, 사용자, 그룹 권한 리스트) 일반적 ACL
SACL - 시스템 감사 -> 특정 권한에 대한 감사리스트
-------------------
ACE(Access Control Entry) - DACL, SACL에 사용자 정보가 없으면 접근을 비워둠

 

1. DACL : 임의 제어 액세스 목록
2. ACE : ACL의 각 항목을 권한 수정(액세스 제어 항목)

※Permission(계정권한) 설정 후 설정 값을 유지하고 싶을 경우는 같은 파티션 안에서 이동 했을 경우 설정이 유지되고

같은 파티션이 아닌 경우에는 xcopy 명령어 사용.

p89
NTFS에 대해서 설명할 차례