Module 1: Exploring Windows Server® 2008 Active Directory® Roles

나중에 따로 정리예정

워크그룹 : 독립실행형...
도메인 : C/S 모델을 이야기 함.=> 중앙 디렉터리 서비스 => ADS/AD DS
         인터넷 DNS 이름을 말하는게 아님. 싱글사인온 구현 가능.

우리 조직의 부서이름 반영
NT 도메인들이 부서마다 따로따로 있었음.

2000 AD로 가면서

NT 도메인 : 부서단위
2000 AD : 회사단위..
========================================================
OS들의 특징
1. 공유레벨의 시스템 => 밀레니엄시스템 이전에 끝남.
2. 사용자 레벨의 시스템 => 강제 로그온..
SSO => 도메인 환경..
WUS
========================================================
이름/..
도메인/ 컴퓨터 이름.. =>
컴퓨터 네이밍 :
NetBIOS  => 16자리. 15자리 + 서비스코드
Hostname => 255자리. com1.sec.com.

www.naver.com:80

sec.com = sec  : netbios 명을 매핑해야 함.
suwon.sec.com = suwon
SAM :DB 파일을 관리

도메인 로그인할 경우 DC가 사용자 티켓 발급(10시간 TTL)
타시스템 이용시 유효기간, 발급서버 등 확인 (DC에서)
사용자 서비스 티켓 발급 (10시간 TTL)

Local (LSA)
ntds.dit 파일 디렉터리 DB파일
1. 스키마티션 ==> forest 레벨에서 공유
2. 구성 파티션 ==> forest 레벨에서 공유

3. 도메인파티션 => 도메인 내에서만
4. 응용프로그램 파티션 => 관리자의 선택에 따라
5. PAS(GC) ==> forest 레벨에서 공유
==> 기본적으로 Root DC에 할당됨.
==> 전체 forest의 간략한 정보를 저장하고 있는 저장소
user1 => 도메인 파티션에 저장했더니 attribute가  200개...  핵심은 => 10개 를 GC에 저장
forest 전체의 도메인에서 모든 개체들에 대한 간략한 정보를 저장해두는 저장소 => gc

adsiedit.msc

도메인 관리도구
1. ad 사용자 및 컴퓨터 : 일반세팅
2. adsiedit.msc : 고급세팅
3. ldp : 개개별 개체에 세팅되어 있는 아주 디테일한 정보. 고급세팅

스키마
1. ad 스키마 : 관리도구에 있음. 기본적으로는 나타나지 않음.
스키마 관리도구 등록 :  regsvr32 schmmgmt.dll
스탠다드 스키마의 경우 계정하나당 200K 정도 할당
보통 400K 까지도 할당될수 있음.
SAM => 40MB 를 초과할 수 없음
AD Ntds.eit... 백만개 저장할 수 있음. 
우리회사 : 사용자 계정/컴퓨터 계정 => 600KB 사이징...
도메인파티션과 스키마가 다름.

2. adsiedit.msc
========================================================

도메인 : OU(새분화해서 관리)
- 보안구성을 위한 하나의 범주
- 관리의 범위

도메인 => administrator
1학년1반 = > 담임선생님..

LG전자
lg.com (도메인)
OU : 의미있는 이름으로 생성, 체계적으로 관리
- 서울
   - 여업
   - 서비스
- 평택
   - 멀티미디어
   - PC사업부
   - CD롬 사업부
- 구미
   - 냉장고
     - 생산실
     - 연구실
   - TV

지역적인 부분으로 구분...
===============================================
LG전자는 사업부가 크게 두가지
lge.com
멀티미디어 사업본부
- PC 사업본부
- CD롬 사업본부

리빙 사업본부
- 냉장고
- TV
===============================================
조직도 ... OU => 가장 권장하지 않는 방법.

도메인 구성방법
1. Parent, client 형 도메인
서버가 많이 포함되어짐.. (돈이 많이듬)
도메인ㅂㄹ 서버관리자 필요
WAN 구간 속도저하.

2. 도메인 안에서 OU로 구분
지역별 DC중 어디에 로그인할지 알 수 없음.
복제문제

===============================================
dcpromo
1. NTDS 디렉터리 생성 => AD DB
2. SYSVOL => AD 그룹정책이 저장 =>폴더를 자동 공유. NTFS 파일시스템이 반드시 필요

2000
1. 혼합모드
2000 + NT4 백업용도...  : 디렉토리구성모드가 호환성모드로 낮추어짐.
2. 기본모드 : 2000 DC로만 구성

2003
1. 혼합모드 nt
2. 기본모드 2000 + 2003
3. 2003 기능수준레벨

2008
1. 더이상 nt 지원안함.
2. 기본모드
3. 2003 기능수준레벨
4. 2008 수준

dvanced 모드로 설치

다중마스터에서도 싱글마스터 작업 5가지
스키마마스터

AD DC가 복제를 해결할 수 있는 방법
1. 동일한 이름으로 개체가 등록되는 경우 (이론상으로 15초 delay 이후에 보냄)
    같은 랜구간에 있으면 실시간으로 됨..
    시간이 조그이라도 빠른 개체를 선택
    NYC-DC1
    DC2에서 user1??? user1%CNF%dc2의 GUID

repadmin /?
repadmin /showobjmeta nyc-dc1 cn=user1,ou=ou,dc=woodgrovebank,dc=com

2. user1이 있는 상태.
DC1에서 500-1234
DC2에서 900-1234 로 변경0
time stamp가 조금이라도 느린것 선택.

3. ou라는 ou
DC1에서는 ou에다가 user2를 추가
DC2는 ou 자체를 삭제..

싱글마스터 작업
1. 스키마 마스터 => 스키마 변경시..
;; schema
2. 도메인 네이밍 마스터 => 포리스트내 이름을 유지관리 => 포리스트내에서 도메인 추가/제거 작업시
;; trust
=====================================================================
LON DC1
3. PDC 애뮬레이터
-;; NT4 BDC에 대한 pdc로서의 역할..
-;; 이전 버전의 클라이언트들이 암호변경을 하려면  PDC
---------------------------------------------------------------------
-;; 시간서버
-;; 긴급복제, 항상 최신의 DB를 유지

4. rid 마스터 (http://www.systemtools.com) DumpSec v2.8.6 다운로드
-;; sid : user, computer, group

5. infrastructure 마스터
=> 단일 도메인 환경에서는 동작안함
=> 다중 도메인 환경에서 동작하는데, 이미 GC로 구성되었다면 역시 동작안함.
http://support.microsoft.com/kb/255504

전송 : GUI, Ntdsutil.exe
점유 : Ntdstuil.exe