실행창이나 cmd 어디서든 logoff를 치면 자동으로 사용자종료된다.
정상적 로그오프시 쿼리나 기타 정보들이 저장된다.(강제 종료시는 dsadd 명령어들이 저장안됨)
# dsadd ou로 조직구조를 추가해 줄 수 있다.
또한 dsadd user로 계정을 생성시에 기본적으로 계정이 잠겨있으므로 -disabled no 옵션을 사용하여 풀어주어야 한다.
\\\\\\\\\\\\\\\
그룹(group)
공통속성을 가진 모임( ou와 달리 멤버로 가입하며, 실제로는 다른 그룹에 속한다.)
사용자, 컴퓨터, 다른 그룹(그룹 중첩가능)
그룹
1) 도메인에서 쓰는 그룹 (NTDS.DIT)
- 범위별 : 도메인 로컬 그룹 ⊃ 유니버설 그룹 ⊃ 글로벌 그룹
- 종류별 : 보안 그룹 | 배포 그룹
2) 로컬에서 쓰는 그룹 (SAM)
- 범위별 그룹 (도메인로컬 | 유니버셜 | 글로벌)
범위는 무조건 한칸씩만 변경이 가능하다. 그룹을 설정할 때에는 범위(G | U | DL)중 한 개와 종류( 보안 | 배포 ) 중 한 개를 선택하여야만 한다.
- 종류별 그룹
보안 그룹 : 접근권한(폴더, 파일), 사용자 권한(시스템 접근권한) 부여가 가능하다 - 권한 정보를 손쉽게 관라하기 위한 것이다.
배포 그룹 : 그룹 안에 있는 유저에게 단체 메일을 보낼 때 사용
배포그룹과 보안 그룹의 차이는 "P"의 유무로 P가 있으면 보안그룹이고 없으면 배포그룹이다.
보안그룹에서 배포그룹으로 수정시에 기존 배포그룹에서 부여한 권한이 배포모드로가면 사라지기에 경고 창을 나타낸다.
# 글로벌 그룹
글로벌 그룹에서 유니버셜 그룹으로 바꿀 시에 글로벌 그룹안에 글로벌 그룹이 있으면 변경이 불가능하다.
글로벌은 무조건 같은 도메인 안에 있어야 정보를 담을 수 있다.
- 글로벌 계정이 포함되어있지 않으면 유니버셜 그룹으로 변경가능.
# 유니버설 그룹
유니버설 그룹은 같은 포리스트 안에서만 포함관계 및 변경이 가능하다.
- 도메인 로컬 그룹으로 변경가능
- 글로벌 로컬로 변경가능 (단, 유니버셜 그룹이 포함되어있지 않고 같은 도메인에 있어야 한다)
# DomainLocal 그룹
도메인로컬 그룹은 모든 권한을 다 가지고 있을 수 있기에 포함관계는 같은 포레스트 안에서만 가능하다.
-----------------------------------------------
# Local 그룹
일반 사용자는 보안설정으로 도메인 내에서 모든 권한을 가질 수 있다. (단, SAM은 NTDS.DIT를 사용하지 못하므로 따로 인식된다.)
# 로컬 유저
로컬 유저의 경우 시스템을 종료할 수 없으며, 단지 로컬 내에서만 모든 권한을 가질 수 있다.
로컬 사용자에게 권한 부여하기
# 그룹을 만든후 같은 도메인의 다른 로컬 사용자에게 권한을 부여하면 그 권한 부여자는 들어와서 구성원의 추가가 가능해진다. 다만 들어올 때 수정 권한을 가진 administrator로 들어와서 수정한다.
그룹 관리자를 지정해서 책임을 지게 할 수 있다. 그러나 관리자 구성원 목록 업데이트를 체크하지 않을 시 책임만 있고 수정 및 관리를 할 수 없다.
구성원은 수정이나 추가가 가능하나, 소속그룹은 추가, 수정이 불가능하다. 다만 가능할 때는 다른 소속그룹에도 가입시켜서 둘이 연동된다면 가능하다.
dsadd group -secgrp <yes | no > 그룹 생성시 설정하지 않으면 기본 값이 global에 보안으로 되어있다.
dsadd group -scope < l | g | u >
'windows server2008' 카테고리의 다른 글
| 9일차 보안설정 (ACL과 ACE) (0) | 2013.03.18 |
|---|---|
| 8일차. 그룹의 기능, Access Controll List(ACL) (0) | 2013.03.15 |
| 6일차. 템플릿(계정복사), (0) | 2013.03.13 |
| 5일차 local, domain 사용자계정 추가. (0) | 2013.03.12 |
| 4일차 "AD 사용자 및 컴퓨터" 관리, 도메인 생성. (0) | 2013.03.11 |