Windows 2003 Server 를 이용한 네트워크(AD) 환경 구축(구축예)

AD INFRA 2007/04/06 16:14

[주요 작업 순서]

1. OS(운영체제) 설치

 CD boot 를 하여 Windows 2003 설치를 진행 (설치 시작과 동시에 F6 if you need to install a third party SCSI or RAID driver 라고 나오면 F6을 눌러서 Adaptec Raid 컨트롤러 드라이버를 A: 드라이브를 통하여 설치 해야 함.)
 기타 드라이버들은 Windows 2003 에 내장되어 있는 드라이버를 사용하면 됨.
 서비스 팩 및 Windows 업데이트 및 보안 패치를 진행함
 주의 사항 : 시스템에서 랜 선이 분리된 상태에서 작업하거나, 완전히 격리된 네트워크에서 작업을 진행해야 함. -> 부팅과 동시에 웜의 잠입 가능성이 있으므로 주의 필요함
 작업 순서
 Raid Controller 설치 (디스켓을 이용하여 설치, F6 번 누른다.)
 Windows2003 서버 설치
 Windows 2003 SP1 설치
 Windows Update 및 보안 패치 적용


2. AD 초기구축

  • 실행창 또는 명령프롬프트에서 dcpromo 라는 명령어를 실행하게 되면 Active Directory 설치 마법사가 시작이 됨,
  •  옵션을 잘 선택후 작업을 진행하면 전체적으로 무리가 없으며, 초기 최초의 DC(도메인 컨트롤러) 인 경우에 해당하므로 새로운 포레스트에 새로운 DC 를 설치하는 것으로 진행하면 됨.
  • 추가 DC 를 설치할 경우에는 기존 포레스트에 DC 를 추가하는 옵션으로 설치를 하면 됨.
  •  AD 작업이 완료가 되면 사용자 계정 및 그룹 생성, OU 생성 등을 준비함.
  •  GPO(Group Policy Object) 를 설정하는 부분은 모든 작업이 안정적으로 끝난 후 진행 하면 됨.

 작업 순서

  • Dcpromo -> 사용자 계정 생성 및 그룹 생성
  • 조직구성 단위 별로 계정 분류
  • Organization Unit에 보안그룹 추가
  • SUS (Software Update Service)
  • MBSA (Microsoft Baseline Security Analyzer)
  • Active Port 등의 프로그램 설치.

    SUS 화면

    사용자 삽입 이미지

     MBSA 화면
     
    사용자 삽입 이미지

3. 클라이언트 도메인 참여 작업 진행

사용자 삽입 이미지

 내컴퓨터의 등록 정보 -> 컴퓨터 이름 -> 변경 버튼 -> 도메인을 선택 -> 도메인 관리자 계정 및 암호 입력
 도메인에 대한 내용은 Netbios 이름을 입력 또는 도메인 이름(domain.co.kr)을 입력한다.
 주의 사항 : 도메인에 참여하기 전에 반드시 시스템은 DNS 설정을 DC 의 IP 로 설정을 해야함.
 도메인에 참여하는 동안 DC 를 찾지못하는 경우에는 Dns 서버가 정상적으로 작동하는지 점검 필요-> 서비스 재시작 또는 이벤트 표시기 점검.
 도메인 참여 후 프로파일을 다시 생성을 하며, 기존의 프로파일에서 바탕화면이나 문서 등을 다시 옮겨 주거나 링크를 새로 잡아야 함.


배포 그룹
 배포 그룹은 Exchange와 같은 전자 메일 응용 프로그램을 사용하여 사용자 집합에 전자 메일을 보낼 때 사용하며 배포 그룹은 보안되지 않으므로 DACL(임의 액세스 제어 목록)에 나타날 수 없습니다. 공유 리소스에 대한 액세스를 제어하기 위해서는 보안 그룹으로 생성을 해야 함.
보안 그룹
 보안 그룹은 주의해서 사용하면 네트워크에 있는 리소스에 대한 액세스 권한을 효율적으로 할당할 수 있으며, 파일의 보안이나, 공유 자원 액세스에 활용 가능.
 Active Directory의 보안 그룹에 사용자 권한 할당
 리소스의 보안 그룹에 사용 권한 할당
유니버설 그룹 (도메인 트리 구성 시, 멀티 도메인)
 도메인 트리나 포리스트에 있는 모든 도메인의 다른 그룹과 계정을 구성원으로 가질 수 있으며 도메인 트리나 포리스트의 모든 도메인에서 사용 권한을 할당 을 수 있습니다,
글로벌 그룹 (포리스트 내의 그룹)
 자신이 속한 도메인의 다른 그룹 및 계정만 구성원으로 가질 수 있으며 포리스트의 모든 도메인에서 사용 권한을 할당 받을 수 있습니다.
도메인 로컬 그룹 (도메인 내의 그룹)

 Windows Server 2003, Windows 2000 또는 Windows NT 도메인의 다른 그룹과 계정을 구성원으로 가질 수 있으며 도메인의 사용 권한만 할당 받을 수 있습니다.

도메인 로컬 범위를 가진 그룹을 사용해야 할 때
도메인 로컬 범위를 가진 그룹을 사용하면 단일 도메인의 리소스에 대한 액세스를 정의하고 관리할 수 있습니다. 이러한 그룹은 아래 항목을 구성원으로 가질 수 있습니다.

• 글로벌 범위를 가진 그룹
• 유니버설 범위를 가진 그룹
• 계정
• 도메인 로컬 범위를 가진 다른 그룹
• 이러한 항목이 혼합된 모든 형태

예를 들어 5명의 사용자에게 특정 프린터에 대한 액세스 권한을 부여하려면 프린터 사용 권한 목록에 이들 모두의 사용자 계정을 추가할 수 있습니다. 그러나 이후에 이들에게 새 프린터에 액세스할 수 있는 권한을 부여하려면 새 프린터 사용 권한 목록에 이들 모두의 사용자 계정을 다시 지정해야 할 것입니다.
따라서 조금 더 세심한 계획을 세워 도메인 로컬 범위를 가진 그룹을 만들고 이 그룹에 프린터 액세스 권한을 할당하면 이러한 일상적인 관리 작업을 간소화할 수 있습니다. 글로벌 범위를 가진 그룹에 사용자 계정 5개를 포함하고 도메인 로컬 범위를 가진 그룹에 이 그룹을 추가해 보십시오. 그리고 5명의 사용자에게 새 프린터에 액세스할 수 있는 권한을 부여할 때 새 프린터에 대한 액세스 권한을 도메인 로컬 범위를 가진 그룹에 할당합니다. 글로벌 범위를 가진 그룹의 모든 구성원이 자동으로 새 프린터에 대한 액세스 권한을 받게 됩니다.
글로벌 범위를 가진 그룹을 사용해야 할 때
글로벌 범위를 가진 그룹을 사용하여 사용자 계정이나 컴퓨터 계정처럼 일상적으로 관리해야 하는 디렉터리 개체를 관리합니다. 글로벌 범위를 가진 그룹은 해당 도메인의 외부로 복제되지 않기 때문에 이러한 그룹의 계정은 글로벌 카탈로그에 복제 트래픽을 만들지 않고 자주 변경할 수 있습니다. 그룹과 복제에 대한 자세한 내용은 복제 작동 방법을 참조하십시오.
사용 권한은 그 권한이 할당된 도메인 내에서만 유효하지만 글로벌 범위를 가진 그룹을 해당하는 모든 도메인에 일률적으로 적용하면 비슷한 목적을 가진 계정에 대한 조회를 통합할 수 있습니다. 그러면 여러 도메인에 걸친 관리 작업을 합리적으로 간소하게 수행할 수 있습니다. 예를 들어 Europe 및 UnitedStates라는 두 개의 도메인이 있는 네트워크에서 UnitedStates 도메인에 GLAccounting이라는 글로벌 범위를 가진 그룹이 있는 경우 Europe 도메인에 계정 기능이 있다면 Europe 도메인에도 GLAccounting이라는 그룹이 있을 것입니다,
글로벌 카탈로그로 복제되는 도메인 디렉터리 개체에 대한 사용 권한을 지정할 때는 도메인 로컬 그룹 대신 글로벌 그룹이나 유니버설 그룹을 사용하는 것이 좋습니다. 자세한 내용은 글로벌 카탈로그 복제를 참조하십시오.

유니버설 범위를 가진 그룹을 사용해야 할 때
유니버설 범위를 가진 그룹을 사용하여 여러 도메인의 그룹을 통합할 수 있습니다. 이렇게 하려면 글로벌 범위를 가진 그룹에 계정을 추가하고 이러한 그룹을 유니버설 범위를 가진 그룹에 포함시킵니다. 이 방법을 사용하면 글로벌 범위를 가진 그룹의 구성원에 대한 변경 내용이 유니버설 범위를 가진 그룹에 영향을 미치지 않습니다.
예를 들어 Europe과 UnitedStates라는 두 도메인이 있는 네트워크의 각 도메인에 GLAccounting이라는 글로벌 범위를 가진 그룹이 있는 경우 UAccounting이라는 유니버설 범위를 가진 그룹을 만들어 두 개의 GLAccounting 그룹, 즉 UnitedStates\GLAccounting 및 Europe\GLAccounting을 그 구성원으로 가지도록 합니다. 그러면 회사의 모든 위치에서 UAccounting 그룹을 사용할 수 있습니다. 개별 GLAccounting 그룹의 구성원을 변경해도 UAccounting 그룹이 복제되지 않습니다.
유니버설 범위를 가진 그룹의 구성원은 자주 변경하지 말아야 합니다. 이러한 그룹의 구성원을 변경하면 그룹의 전체 구성원이 포리스트에 있는 모든 글로벌 카탈로그에 복제되기 때문입니다. 유니버셜 그룹 및 복제에 대한 자세한 내용은 글로벌 카탈로그 및 사이트를 참조하십시오.

그룹 범위 변경
새 그룹을 만들면 현재의 도메인 기능 수준에 관계없이 새 그룹이 기본적으로 글로벌 범위를 가진 보안 그룹으로 구성됩니다. 도메인 기능 수준이 Windows 2000 혼합으로 설정된 도메인에서는 그룹 범위를 변경할 수 없지만 도메인 기능 수준이 Windows 2000 기본이나 Windows Server 2003으로 설정된 도메인에서는 다음과 같이 변환할 수 있습니다.
• 글로벌 그룹을 유니버설 그룹으로 변환. 변경할 그룹이 다른 글로벌 범위 그룹의 구성윈이 아닌 경우에만 이렇게 변환할 수 있습니다.
• 도메인 로컬 그룹을 유니버설 그룹으로 변환. 변경할 그룹이 다른 도메인 로컬 그룹을 구성원으로 가지고 있지 않은 경우에만 이렇게 변환할 수 있습니다.
• 유니버설 그룹을 글로벌 그룹으로 변환. 변경할 그룹이 다른 유니버설 그룹을 구성원으로 가지고 있지 않은 경우에만 이렇게 변환할 수 있습니다.
• 유니버설 그룹을 도메인 로컬 그룹으로 변환. 이 작업에는 아무런 제한이 없습니다.
자세한 내용은 그룹 범위 변경을 참조하십시오.

클라이언트 컴퓨터와 독립 실행형 서버의 그룹
유니버설 그룹, 그룹 중첩, 보안 그룹 및 메일 그룹 간의 구별과 같은 일부 그룹 기능은 Active Directory 도메인 컨트롤러와 구성원 서버에서만 사용할 수 있습니다. Windows 2000 Professional, Windows XP Professional, Windows 2000 Server 및 Windows Server 2003 실행 독립 실행형 서버의 그룹 계정은 Windows NT 4.0의 그룹 계정과 같은 방법으로 작동합니다.
• 로컬 그룹만 컴퓨터에서 로컬로 만들 수 있습니다,
• 이러한 컴퓨터에서 만든 로컬 그룹에는 해당 컴퓨터의 사용 권한만 할당할 수 있습니다.


Posted by 달룡이네집
TAG , , ,
트랙백 1, 댓글 0개가 달렸습니다.