2018.02.21.22_7-8일차- ①그룹②실습

Lesson 1. 그룹

* 강사님이 올려주신 파일:

그룹 명령어.txt

* 실습 파일:

03_계정실습OU&User_Account_Lab.pdf

03_계정실습_쌤.bat

 

03_계정실습_me.txt

1_engin.bat

 

1> 정의

- 범위별

도메인 로컬 >> 유니버설 >> 글로벌 그룹

- 종류별

보안, 배포 그룹

=> 도메인 보안|배포, 유니버설 보안|배포, 글로벌 보안|배포

★보안 : ①권한 부여용, ②이메일용

①권한 : 접근 권한(Permissions) 과 사용자 권한(Right)

   => 3장                        => 5장

②이메일용 : 익스체인지 서버(메일 서버) 사용하면 이메일용으로 쓸 수 있다.

배포 : 이메일 용도만 가능 ← 권한은 사용할 수 없어서 잘 안씀.

 

2> 글로벌 그룹

구성원: 그룹 맴버; 사용자계정, 글로벌 그룹

동일한 도메인의 사용자계정과 컴퓨터 계정

g => uni.., ??

 

소속 그룹: 구성원이 소속되 있는 그룹

 

3> 유니버설 그룹

구성원: 포리스트의 모든 도메인의 글로벌, 사용자(컴퓨터) 계정, 유니버설 그룹

소속 그룹: 도메인, 유니버설

 

4> 도메인 로컬 그룹

구성원: 모두 다; 포리스트의 모든 도메인의 사용자 계정, 컴퓨터 계정

포리스트의 모든 도메인과 신뢰 도메인의 글로벌, 유니버설 그룹,

동일한 도메인 도메인 로컬 그룹 

소속그룹: 도메일 로컬 그룹 만

변경될 수 있는 그룹: 유니버설 그룹

 

5> 로컬 그룹

구성원: 로컬 사용자, 도메인 사용자, 도메인 그룹

로컬 사용자 << 도메인 사용자, 도메인 그룹

compmgmt.msc> 로컬 사용자 및 그룹: 그룹 폴더 클릭> Administrator 계정 더.클

6> 그룹 전략(AGLP)

UserAccounts  →   Global Groups  |(○)→   Local Groups     Permissions

Domain Administrator                  ← (×)   

아이콘 있는 애들(빨간색 네모) : Domain Controllers, MCITP => OU

나머지(파란색 네모) : container

 

 

7> 그룹 중첩(Nesting)

장점

- 사용자 정보 크기 줄여준다.

- 중첩 그룹은 관리 업무 간소화 함.

 

8> 그룹 명명법

- 그룹 목적성(연관성) 띈 이름으로 짓기!

부서, 지사, 본사..,

ex> 강사부 계정

그룹명 : 강사부

 

9> 그룹 생성

그룹 종류를 배포로 변경 시 다음과 같은 문구가 뜸.

구성원 탭 설정 | 소속 그룹 탭 설정 | 관리자 탭 설정

구성원 탭 설정

도메인 로컬 >> 유니버설 >> 글로벌 그룹

글로벌 → 유니버설 로 변경 시 오류 문구 발생

소속 그룹 탭 설정

 

관리자 탭 설정

[cmd]

runas /user:check103@care.com "mmc dsa.msc"

구성원 탭(○), 소속 그룹(×) 추가 및 제거

          

 소속 그룹은 추가(?), 제거 권한 없음!

여러개 추가

 

10> 기본 그룹(Default Group)

- Builtin, Users OU

Builtin : Remote Desktop Users 그룹이 있당

Users : Cert Publishers(https, ssl, x.509암호화 기법 사용?)

DNSAdmins,

Guest ← 계정 사용 안함! (id, pwd 입력 안하고 접속 가능하므로)

 

* 로컬 내 적용 : compmgmt.msc

로컬 내에서만 사용 가능!

11> 조직 단위와 그룹 비교

조직 단위(OUs)	그룹(Groups)
그룹 정책 설정을 적용할 수 있다. ← OU, Domain	그룹 정책 설정을 그룹에 직접적으로 적용할 수 없다. => 그룹 정책은 그룹과는 전혀 연관성이 없다.
이메일 배포용 사용 (×)	이메일 배포용 사용 (○)

 

12> 그룹 전략

User Accounts, Global Groups, Universal ???

AGP, AGUDLP, ADLP..,

 

 

///////////////////////////////

13> 그룹 생성(CLI)

l :local, g:global, u: univalsal

 

// sol 1. 그룹 생성

1) 처음 그룹 계정 생성시, dsadd 그룹, 구성원

2) 이미 계정 생성되있으면 (dsadd 그룹)

dsadd  구성원 (x) => dsmod

 

// sol 2. 사용자 계정 생성 되 있고, 그룹 구성원으로 바꾸는 경우

dsadd user -memberof ~

 

=================

! 정리 !

1. 사용자 계정을 생성 시 그룹을 지정

dsadd user -memberof 그룹DN

2. 그룹을 생성 시 사용자계정을 구성원 추가

dsadd group -members 사용자계정DN

3. 사용자 계정과 그룹이 생성 되어있는 상태에서 추가

dsmod group -addmbr 사용자계정DN

 

 

[cmd]

C:\>dsmod group /?
설명: 디렉터리에 있는 기존 그룹을 수정합니다.

구문:       dsmod group <그룹 DN ...> [-samid <SAM 이름>]
            [-desc <설명>] [-secgrp {yes | no}] [-scope {l | g | u}]
            [{-addmbr | -rmmbr | -chmbr} <구성원 ...>]
            [{-s <서버> | -d <도메인>}] [-u <사용자 이름>]
            [-p {<암호> | *}] [-c] [-q] [{-uc | -uco | -uci}]

매개 변수:

값                      설명
<그룹 DN ...>           필수/stdin. 수정할 하나 이상의 그룹의
                        DN(고유 이름)입니다.
                        대상 개체가 생략되면 다른 명령의 출력을
                        파이프로 이 명령에 입력할 수 있도록
                        표준 입력(stdin)으로부터 대상 개체를
                        얻습니다.
                        <그룹 DN ...> 및 <구성원 ...>이 같이 사용된
                        경우에는 표준 입력으로 하나의 매개 변수만 얻을 수
                        있으므로 적어도 하나의 매개 변수는 명령줄에
                        지정되어야 합니다.
-samid <SAM 이름>       그룹의 SAM 계정 이름을 <SAM 이름>으로 설정합니다.
-desc <설명>            그룹의 설명을 <설명>으로 설정합니다.
-secgrp {yes | no}      그룹 종류를 보안(yes) 또는 비보안(no)으로
                        설정합니다.
-scope {l | g | u}      그룹 범위를 로컬(l), 글로벌(g) 또는 유니버설(u)로
                        설정합니다.
{-addmbr | -rmmbr | -chmbr}
                        -addmbr은 그룹에 구성원을 추가합니다.
                        -rmmbr은 그룹에서 구성원을 제거합니다.
                        -chmbr은 그룹의 전체 구성원 목록을 변경하거나
                        바꿉니다.
<구성원 ...>            그룹에 추가, 삭제 또는 바꿀 공백으로 구분된
                        구성원 목록입니다.
                        대상 개체가 생략되면 다른 명령의 출력을
                        파이프로 이 명령에 입력할 수 있도록
                        표준 입력(stdin)으로부터 대상 개체를
                        얻습니다.
                        구성원 목록이 -addmbr, -rmmbr 및 -chmbr
                        매개 변수를 따라야 합니다.
                        <그룹 DN ...> 및 <구성원 ...>이 같이 사용된
                        경우에는 표준 입력으로 하나의 매개 변수만 얻을 수
                        있으므로 적어도 하나의 매개 변수는 명령줄에
                        지정되어야 합니다.
{-s <서버> | -d <도메인>}
                        -s <서버>는 <서버> 이름을 가진 AD DC/LDS 인스턴스에
                        연결됩니다.
                        -d <도메인>은 <도메인> 도메인에 있는 AD DC에 연결
                        됩니다. 기본값: 로그온 도메인에 있는 AD DC
-u <사용자 이름>        <사용자 이름>으로 연결합니다.
                        기본값: 로그인된 사용자
                        <사용자 이름>은 사용자 이름, 도메인\사용자 이름
                        또는 UPN(사용자 계정 이름)이 될 수 있습니다.
-p <암호>               <사용자 이름> 사용자의 암호입니다. *를 입력하면
                        암호를 묻습니다.
-c                      계속 작업 모드: 오류는 보고되나 여러
                        대상 개체가 지정된 경우 인수 목록에 있는
                        다음 개체로 계속합니다.
                        이 옵션을 사용하지 않으면 오류가 처음으로 발생할 때
                        명령을 끝냅니다.
-q                      자동 모드: 화면에 출력을 표시하지 않습니다.
{-uc | -uco | -uci}     -uc 파이프로부터의 입력 또는 파이프로의 출력이
                        유니코드로 인코딩됩니다.
                        -uco 파이프 또는 파일로의 출력이 유니코드로
                        인코딩됩니다.
                        -uci 파이프 또는 파일로부터의 입력이 유니코드로
                        인코딩됩니다.

설명:
제공한 값에 공백이 포함되어 있으면 텍스트를
큰따옴표로 묶으십시오.
(예: "CN=USA Sales,OU=Distribution Lists,DC=microsoft,DC=com")

여러 값을 입력하는 경우 값을 공백으로 구분해야 합니다.
(예: 고유 이름 목록)

예:
Mike Danseglio 사용자를 모든 관리자 메일 그룹에
추가하려면 다음을 입력합니다.

dsquery group "OU=Distribution Lists,DC=microsoft,DC=com" -name adm* |
dsmod group -addmbr "CN=Mike Danseglio,CN=Users,DC=microsoft,DC=com"

US Info 그룹의 모든 구성원을 Cananda Info 그룹에 추가하려면 다음을 입력합니다.

dsget group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com" -members |
dsmod group "CN=CANADA INFO,OU=Distribution Lists,DC=microsoft,DC=com"
-addmbr

여러 그룹의 종류를 "security"에서 "non-security"로
변환하려면 다음을 입력합니다.

dsmod group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com"
"CN=CANADA INFO,OU=Distribution Lists,DC=microsoft,DC=com"
"CN=MEXICO INFO,OU=Distribution Lists,DC=microsoft,DC=com" -secgrp no

US Info 그룹에 세 개의 구성원을 추가하려면 다음을 입력합니다.

dsmod group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com" -addmbr
"CN=John Smith,CN=Users,DC=microsoft,DC=com"
"CN=Datacenter,OU=Distribution Lists,DC=microsoft,DC=com"
"CN=Jane Smith,CN=Users,DC=microsoft,DC=com"

"Marketing" 조직 구성 단위의 모든 사용자를 기존 그룹인
"Marketing Staff"에 추가하려면 다음을 입력합니다.

dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod group
"cn=Marketing Staff,ou=Marketing,dc=microsoft,dc=com" -addmbr

기존 US Info 그룹에서 두 개의 구성원을 삭제하려면 다음을 입력합니다.

dsmod group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com" -rmmbr
"CN=John Smith,CN=Users,DC=microsoft,DC=com"
"CN=Datacenter,OU=Distribution Lists,DC=microsoft,DC=com"

참고 항목:
dsmod computer /? - 디렉터리에 있는 기존 컴퓨터 수정에 대한 도움말
dsmod contact /? - 디렉터리에 있는 기존 연락처 수정에 대한 도움말
dsmod group /? - 디렉터리에 있는 기존 그룹 수정에 대한 도움말
dsmod ou /? - 디렉터리에 있는 기존 조직 구성 단위 수정에 대한 도움말
dsmod server /? - 디렉터리에 있는 기존 AD DC/LDS 인스턴스 수정에 대한
도움말
dsmod user /? - 디렉터리에 있는 기존 사용자 수정에 대한 도움말
dsmod quota /? - 디렉터리에 있는 기존 할당량 사양 수정에 대한
도움말
dsmod partition /? - 디렉터리에 있는 기존 파티션 수정에 대한
도움말

디렉터리 서비스 명령줄 도구 도움말:
dsadd /? - 개체 추가에 대한 도움말
dsget /? - 개체 표시에 대한 도움말
dsmod /? - 개체 수정에 대한 도움말
dsmove /? - 개체 이동에 대한 도움말
dsquery /? - 검색 조건에 해당되는 개체 찾기에 대한 도움말
dsrm /? - 개체 삭제에 대한 도움말

=====================

1. 사용자 계정을 생성 시 그룹을 지정

dsadd user -memberof 그룹DN

2. 그룹을 생성 시 사용자계정을 구성원 추가

dsadd group -members 사용자계정DN

3. 사용자 계정과 그룹이 생성 되어있는 상태에서 추가

dsmod group -addmbr 사용자계정DN

=====================

// 2. 예

// 잘못한 예

C:\>dsadd group "cn=GC103, ou=서정아, ou=mcitp, dc=care, dc=com"
dsadd 성공:cn=GC103,ou=서정아,ou=mcitp,dc=care,dc=com

// 요거!

C:\>dsadd group "cn=GC203, ou=서정아, ou=mcitp, dc=care, dc=com" -secgrp yes -sc
ope g
dsadd 성공:cn=GC203,ou=서정아,ou=mcitp,dc=care,dc=com

 

// 1. 예

C:\>dsadd user "cn=gu103, ou=서정아, ou=mcitp, dc=care, dc=com" -pwd P@ssw0rd -u
pn gu103@care.com -memberof "cn=GC203, ou=서정아, ou=mcitp, dc=care, dc=com"
dsadd 성공:cn=gu103,ou=서정아,ou=mcitp,dc=care,dc=com

// 3. 예

C:\>dsmod group "cn=GC203, ou=서정아, ou=mcitp, dc=care, dc=com" -addmbr "cn=che
ck103, ou=서정아, ou=mcitp, dc=care, dc=com"
dsmod 성공:cn=GC203,ou=서정아,ou=mcitp,dc=care,dc=com

cmd에 있는거, 혹시 못적은거 있으면 추가하기!

 

 

<OU 및 사용자 계정 생성 실습>

2. 각 OU에 사용자 계정 및 제어 위임

제어 위임만 명령 힘듬..,

 

3~5. 계정 생성 및 특이사항 설정

for문 이용

6. 그룹 - 구성원

대학 : G=>U, 학과 : U=>G

도메인 로컬 >> 유니버설 >> 글로벌 그룹

=> 동등하게 만들거나 바꾸기??

 

 

각 대학, 학과 OU로 만들기 =>

그룹 생성 =>

(계정)구성원 만들면서 그룹 지정