C:\WINDOWS\security\templates\
AD 설계시...
정책... 기반..
지역적인 구조를 반영?
비즈니스 모델을 반영??
C:\WINDOWS\security\templates\
AD 설계시...
정책... 기반..
지역적인 구조를 반영?
비즈니스 모델을 반영??
2010. 6. 3. 13:41
group policy Who&What2010. 6. 3. 13:41
AD 그룹정책(policy)은 AD의 꽃이다.
gpupdate /force : policy update
runas
ad + 계정정책 안걸림 ... => 공백일 수 있다.
2003+ + ad 계정정책이 걸려버림..
7문자 이상, 복잡성 걸려버림..
복잡성 : 대문자, 소문자 ,특수문자, 숫자 => 3가지를 조합
password 2000 : 사전식 암호.. 복잡성 만존안함
P@ssw0rd 2003
Pa$$w0rd 2008
42만료기간 지난후에는 복잡서을 만족해야 함.
administrator 만료기간.. 제한없음.
xp : LGPO
xpd : LGPO + D GPO
DC : LGPO + D GPO + DC GPO
------------------------------------------------------
로컬 GPO (ALL)
=> 로컬 사용자 권한할당 부분 : 모두 로그온 해라
도메인 GPO(도메인의 ALL)
=>로컬 사용자 권한할당 부분 안되어 있음. =>로그온을 세팅=> 아무도 없다!로 세팅하면..?
=>계정정책!!!
도메인 컨트롤러 GPO
=>로컬 사용자 권한할당 부분 : 어드민만 로그온 해라
1. 정책은 상속된다 . LGP => DGPO => OU => DC에게 영향
정책 처리순서 : L=> Site=> Domain=> OU => SUB OU
2. 기본적으로 모든 정책은 누적해서 처리
정책의 셋팅의 종류가 다르면 모두다 처리..
세팅이 컴플릿이 되면 정책의 순서에 따라 적용
3. 상속금지...
4. 강제적용..
5. 필터링 : 윈도우 사용자/ 그룹/ 컴퓨터
WMI 필터... : 삼성노트북 Sens 에게만... windows XP에게만.. Vista에게만 적용가능.
=> 그룹정책을 관리할 수 있는 콘솔
1. AD 사용자 및 컴퓨터
2. AD 사이트 및 서비스
3. gpmc
2003에는 gpmc가 기본으로 설치되지 않습니다. .. !!
MS에서 다운받아 설치..
2008 기본설치
gpo 하나당 무조건 dc의 sysvol => 5mb 늘어남..
NPKI (민간 최상위 인증기관)
---------------
GPKI (공공 최상위 인증기관)
NT 도메인은 부서단위
1user / 1account
상호신뢰관계 성립 (Trust)
out going / in comming
단방향 / 양방향
리소스를 주는쪽에서 받는쪽을 Trusting(신뢰)줘야 함
--------------------------
upgrade
1. 공존 :
2. 마이그레이션
support tool 설치 : movetree, cla
1. adsiedit
2. ldp
3. 복제모니터링 [replmon]
도메인간의 개체 이동작업
1. movetree => sid 유지, support 별도 설치
2. admt => MS 다운받아 설치
==============================================
유니버셜그룹의 정보는 GC에 저장됨
cached logon 기능지연 => xp 이상
xp => 빠른 로그온
=> 도메인 가입하면 느린 로그온
dnsmgmt.msc
Lesson 1: Maintaining the AD DS Domain Controllers
NTDS:
ntds.dit => 12MB
c:\windows\ntds => db이동 하기 위해서는.. 정지해야 함
2003 정상모드에서는 이동이 불가능
DC=> f8...
디렉터리 서비스 복원모드 => DSRM 모드
=> SAM 에 계정로그인
SYSVOL : NTFS 파일 시스템이어야 함.
FRS 복제
2003 R2부터 DFS-R
2003까지 SYSVOL FRS (복제알고리즘)
2008 SYSVOL DFS-R
=======================================
백업
NT백업
=> 수동으로 설치안해도 됨.
=> 파일단위의 백업을 진행
시스템 상태 데이터
=> 개개별 머신마다 상태데이터 백업을 별도 유지..
WS백업
=> 수동으로 설치해야됨.
=> 이미지 단위의 백업
=> DVD, USB 외장디스크(메모리 불가), 테잎장치는 직접 백업 기능지원불가
삭제된 개체 쉽게 살려낼 수 있음
LDP
modify:
distinguishedname
iddeleted => delete
dc1=dc2
user1 삭제
1. dc1, dc2에 모두 user1이 있는 상태
2. dc1, dc2의 백업 데이터
3. user1을 dc1에서 삭제
4. dc1, dc2에서 모두 user1이 삭제됨
도스창...띄우고..
dsrm 모드로 부팅해서 dc1의 시스템 상태 데이터를 복원.
6. 그냥부팅하면 복원해도 다시 dc2에서 복제되기 때문에 삭제되어 버림.
7. dsrm 모드에서.. cmd 도스창..
ntdsutil
authoritative restore.. user1 사용자 개체에 대한 정식복원
