Active Directory 이론

Active Directory의 장점

1) 네트워크 상으로 나누어져 있는 자원을 중앙의 관리자가 통합하여 관리할 수 있음

2) 본사 및 자사의 직원들은 더 이상 자신의 PC에 모든 정보를 보관할 필요가 없음

3) 타 지사에 출장을 가더라도 자신의 아이디로 로그인만 하면 타인의 PC가 자신의 PC 환경과 마찬가지로 변경됨

4) PC가 있는 장소와 무관하게 회사의 어디서든 회사 전체 자원을 편리하게 사용 가능

 

Domian = Active directory에서의 domain은 하나의 관리 영역을 말한다.

물리: 눈으로 식별 가능.

논리: 식별하기위해서 논리적으로 나눈 것.

부모 : 자식에 대한 모든 통제권한

자식 : 부모 도메인에 대해서 읽기 권한만 가지고 있다. ( 계정 생성, 일반적인 관리만 가능)

Windows Server 이용형태 종류

유형                           logon 방식

Standalone                  Only local logon

 

Member Server             Local logon & Domain logon 가능

구성원 서버                 DC(Domain Controller)의 자원을 가져다 쓰기 위해서 생성

도메인 join                  DC에는 사용자 계정등의 중요 정보가 존재함으로

                                솔루션 이용자들의 무분별한 접근을 막아 보안을 담보하고자

                                대부분의 솔루션은 DC가 아닌 Member서버에 설치해서 사용한다.

                                따라서 이런 경우 사용자 계정을 가져다 쓸 수 있는 맴버서버에

                                솔루션을 설치해서 사용한다. 대부분의 솔루션은 DC에는 설치조차

                                되지 않는다. 리눅스에서도 apache등의 솔루션은 별도의 계정으로

                                운용이 되고 해당 사용자들은 Login이 되지 않게 설정한다.

                                /sbin/nologin 기능 상기할 것.

Domain Controller         Only Domain Logon

                                HA(High Ability) – 고가용성: 중복구성

1.     로드 밸런싱

2.     폴트 톨러런스

 

1.     ADDS 서비스는 반드시 도메인 컨트롤러가 있어야만 설치된다.

2.     도메인 컨트롤러를 만들기 위해서는 반드시 ADDS가 있어야만 한다.

 

 

 

 

 

mmc

ad스키마 추가 regsvr32 schmmgmt.dll

모든 도메인 컨트롤러를 글로벌 컨트롤러로 설정하면 서로 정보를 주고받을 수 있다.

 

 DNS위임 : DomainDnszones

               ForestDnsZones

 

Active directory 복원모드

Msconfig

부팅-안전모드

 

netdom query fsmo  : 권한 보기.

forest 영역의 권한은 다 줄 수 있다.

도메인 영역은 다 줄 수 없다.(자식한테는 안됨 도메인이 다르니까. )

사용자 및 컴퓨터- 컨트롤러 변경- 2번 – 영역

 

Ntdsutil : 권한 부여하는 명령어.

l  권한 부여 목록.

Schema Master

Dmain Naming Master

PDC Master

RID Master

Infra Master