윈도우서버2008 - (그룹 생성,관리,권한)
오늘은 윈도우7과 XP 와 같은 클라이언트OS 에도 있는 그룹에 대해서 포스팅할려고 합니다.
그룹 : Group 별로 생소하진 않으실텐데요.
리눅스 기초에서도 그룹에 사용자를 JOIN 시켜 해당 폴더에 chgrp 라는 명령어로 권한을 주어 접근이 가능 or 불가능 하게 만들었었는데요.
윈도우서버는 일단 회사규모에 따라 다르겠지만 수백~수천 혹은 수만개의 계정을 그룹으로 관리해야 합니다.
그룹을 사용하는 이유는 무엇일까요??
당연히 더욱 편리하게 사용자계정을 관리하기 위해서죠.
예를 들어보겠습니다.
신입사원 A와 B가 있습니다.
서버관리자는 A와 B에게 계정을 부여했습니다.
A는 마케팅부서 B는 개발자부서 입니다.
마케팅부서는 마케팅 관련 파일 자원에만 접근이 가능하고
개발자부서는 서버파일에 대한 모든접근이 허용됩니다.
관리자는 해당 파일들을 선택해서 일일히 권한을 설정해야 하겠죠.
하지만 A와 B를 기존에 존재하던 마케팅그룹과 개발그룹에 넣으면
파일들 권한을 좀 더 간편하게 줄 수 있겠죠.
A와 B만으로 예를 들었지만 회사원이 A와 B는 아니잖아요. 기본적으로 윈도우서버는 중소기업 이상 거의 쓰는 서버용 OS 니까요.
다음에 다른 신입사원이 와도 위와 같이 계정만 생성해서 그룹에만 넣어주면 따로 권한을 건드릴 필요가 없는거죠.
이 정도까지 설명하고 사진으로 작성해보겠습니다~
시작 > 관리도구 > Active Directory > 도메인명 > Builtin 에 가보시면 AD설치시에 기본적으로 있는 그룹들 입니다.
각 그룹마다 기능과 설명이 나와있습니다. (직접 한번 살펴보세요)
시작 > 관리도구 > Active Directory > 도메인명 > Users 에 가보면 또 다른 그룹들이 있네요.
어? 근데 그룹에도 여러가지 종류가 있다는 것이 보이시나요?
유저계정 : A
보안 그룹
- 글로벌 : G
- 도메인 로컬 : DL
- 유니버셜 : U
글로벌 < 유니버셜 < 도메인 로컬
그룹은 사용자를 계속 추가하듯이 그룹을 계속 추가 해줄 수 도 있는데요.
ex) 도메인 로컬 그룹에 글로벌 그룹이나 유니버셜 그룹을 JOIN 시킬 수 있습니다.
※하지만 글로벌 그룹에는 유니버셜 그룹이나 도메인 로컬 그룹 JOIN 이 불가능합니다.
또한 글로벌에 글로벌을 도메인에 도메인을 유니버셜에 유니버셜을 추가할 수도 있습니다.
이걸 '중첩' 이라고 부르는데요.
중첩을 사용하는 이유는 바로 간소화 할 수 있어서 입니다.
좋지못한 사회죠.. 같은 회사에 정규직과 비정규직이 있다는..
어쩃든 개발팀에도 정규직사원들이 있고 비정규직이 있겠죠.
저렇게 같은 Global에 Global 을 중첩하면
비정규직 사원들의 계약이 모두 끝났다고 가정하면 개발팀 그룹에서 그냥 비정규직 그룹을 뺴면 되는겁니다.
위의 제가 그린 그림은 매우 소규모죠.
하지만 개발팀이 아닌 도메인 파일서버 권한을 생각해보면 어떨까요?
수천,수만명이 해외지사,지방에서 서울에 있는 본사서버를 접근할려고 하는데 일일히 복사하고 수정하고 권한 따로따로 주고 이럴까요?
이건 시간낭비죠.
그래서 중첩을 사용하는 거에요.
그래서 그룹은 '같은 특성을 가진 사람들' 끼리 모으는 것이 중요하고 또 합리적입니다.
저는 Louis Vutton 이라고 OU를 만들어주었습니다.
Louis Vutton 밑에 디자인 이라는 OU를 또 만들어주었습니다.
디자인에는 위 3명의 디자이너가 있습니다.
디자인연구 라는 그룹을 추가해주었습니다.
위와 같이 해당유저 > 그룹추가 > 디자인연구 입력 을 통해 그룹에 JOIN 시켜줍니다.
위와 같이 3명의 디자이너가 디자인연구 라는 그룹에 소속되었습니다.
여기서 잠깐!!
김 철수는 changwoo 라는 폴더에 접근 할 수있는 권한이 없고
김 철수가 속한 디자인연구 그룹은 changwoo 라는 폴더에 접근 할 수 있는 권한이 있습니다.
김 철수는 changwoo 라는 폴더에 접근 할 수 있을까요?
정답:X
그룹이 권한이 있던 사용자가 권한이 있던 항상 '권한없음' 이 우선시 됩니다.
C드라이브 밑에 changwoo라는 폴더를 만들고 그 안에 디자인기밀1~4.txt 파일을 만들어주었습니다. <클론>
changwoo 속성 > 보안 > 추가 디자인연구 > 모든권한 체크
changwoo 속성 > 보안 > 추가 김 철수 > 모든권한 없음 체크
네.. 그룹이 허용되있어도 권한이 없다고 뜨네요..
오늘은 저어어어어엉말 개념위주 설명이네요.
실습 + 개념설명 하니까 한 주제를 집중적으로 설명하는게 생각처럼 쉽진 않네요.
매끄럽지 못한 점 죄송하구요.
다음에는 AD 를 사용한다면 꼭 사용해야 하는 이것..
바로 DFS 에 대해서 포스팅하겠습니다.
-
- 1.jpg [File Size:108.4KB/Download:75]
- 2.jpg [File Size:98.3KB/Download:73]
- 3.png [File Size:8.5KB/Download:76]
- 4.jpg [File Size:47.1KB/Download:76]
- 5.jpg [File Size:38.9KB/Download:84]
- 6.jpg [File Size:42.9KB/Download:94]
- 7.jpg [File Size:71.0KB/Download:78]
- 8.jpg [File Size:62.4KB/Download:80]
- 9.jpg [File Size:34.6KB/Download:71]
- 10.jpg [File Size:105.0KB/Download:68]
- 11.jpg [File Size:103.9KB/Download:74]
- 12.jpg [File Size:60.5KB/Download:71]
- 13.jpg [File Size:83.6KB/Download:78]