[산대특] Windows Server, Domain Local Group, Global Group, GP 그룹 정책, Audit 감사 정책

0926

 

  MMC(Microsoft Management Console)

Windows PDC에서 도메인을 관리하기 위해서 필요한

여러 플러그인과 같은 도구들(각각을 snap-in으로 부름)을 한 곳에 모아 놓은 관리 콘솔.

 

  AD(Active Directory) 사용자 계정과 OU(Organizational Unit) 

OU는 도메인 내에서 각 자원을 구성/저장해주는 최소 단위로서 OU를 AD의 Container라고 부르다. 

관리도구 > ‘AD 사용자 및 컴퓨터’에서 관리할

 

Windows Server에서 사용자 계정은 두 가지

▪ 해당 로컬 호스트에만 로그인이 가능한 '로컬 사용자 계정' 

▪ AD 도메인에 접근할 수 있는 '도메인 사용자 계정'

 

  OU와 Group을 정확히 알기. 

▪ OU의 특성

AD 내의 다양한 객체를 포함하는 AD 컨테이너로써  도메인 내에서 사용자, 컴퓨터, 프린터, 그룹, 다른 OU를 포함할 수 있다.

OU는 사용자, 그룹, 컴퓨터 등을 조직할 수 있는 도메인 아래에 있는 컨테이너(폴더)이다.

OU는 그룹정책을 적용하는 최소단위이다.

OU는 권한을 줄 수 없다.

OU 안에 OU를 넣을 수 있다.

사용자 계정은 하나의 OU에만 가입할 수 있다.

 

▪ Group의 특성

Group에는 사용자만 넣을 수 있고

Group에는 권한을 지정할 수 있다.

Group은 동일한 작업을 하는 사용자들을 넣어서 관리하거나  권한을 부여해서 해당 사용자들이 모두 동일한 권한으로 작업하게 한다.

Group 안에 Group을 넣을 수 없다.

한 사용자는 여러 그룹에 가입될 수 있다.

 

=> gpedit.msc 해서 '로컬 보안 정책'에서 설정했을 때에는

로컬 사용자로 로컬 머신에 로그온 했을 때만 영향을 미치는 GP 설정이 되고 

=> gpmc.msc 해서 ‘그룹정책 관리 편집기’에서 설정하면

도메인 전체에 영향을 미치는 GP 설정이 된다. 

 

  로그인을 정리하면 

▪ 부산에서 도메인으로 로그인할 때 NetBIOS 로그인: pusan.kahn.edu/Administrator  –> admin2 <- 자신이 속한 부산 도메인에 로그인  UPN 로그인: Administrator@kahn.edu  -> admin1 <- 트러스트 관계가 있는 서울 도메인에 로그인

▪ 로컬로 로그인 WIN7\Administrator  –> admin <- 로컬에 로그인

 

  Windows Server에서의 그룹

1) 그룹 일반

  Windows Server에서의 그룹 적용 순서는 

‘그룹을 생성하고 > 해당 그룹에 권한(읽기, 쓰기, 실행)을 주고 > 해당 권한을 가져야 하는 사용자들을 그룹에 넣어’

다수의 사용자들이 주어진 그룹의 권한대로 작업하게 한다. 

도메인 그룹에는 domain local group, global group, universal group이 있다.

<- local group은 도메인이 아니라 로컬에 있는 그룹.

 

2) 그룹의 종류와 역할

  다양한 그룹을 생성하는 이유는 

어느 도메인의 사용자들이 다른 도메인의 자원을 이용하게 하기 위함이다. 

a) Domain Local group ▪ 자원 : 해당 도메인 로컬 그룹을 생성한 도메인의 자원이용  ▪ 사용자 : 어느 도메인의 사용자도 사용 가능  => 같은 도메인에 있는 사용자나 컴퓨터,  그리고 같은 도메인에 있는 다른 글로벌 그룹이 가입될 수 있다.

b) Global group  ▪ 자원 : 해당 도메인 이외의 도메인의 자원 이용 ▪ 사용자 : 해당 글로벌 그룹을 생성한 도메인의 사용자만 사용 가능  =>모든 도메인의 사용자나 컴퓨터, 모든 도메인의 글로벌 그룹과 유니버셜 그룹,  그리고 같은 도메인의 다른 도메인 로컬 그룹이 가입될 수 있다.

c) Universal group ▪ 자원 : 모든 도메인의 자원 이용 ▪ 사용자 : 모든 도메인의 사용자가 사용 가능 =>모든 도메인에 있는 사용자와 컴퓨터 계정, 모든 도메인의 글로벌 그룹이 가입될 수 있다.  <= 이 그룹은 아무 제약이 없기 때문에 자원과 그룹, 사용자 문제가 있을 때 급하게 편하게 처리하느라고 이들을 글로벌 그룹으로 만들어 두는 경우가 있는데 반드시 나중에 제대로 조절해 두어야 한다!!! 신중히 생성하고 사용되어져야 한다.

 

* 간단히 정리하면 '자원이 있는 곳에 domain local group을 생성'하고, 이 자원을 이용하기 위해서 '자원이 없는 곳에서는 global group을 생성'한다!!!!(중요)

 

GPT	Domain Local Group	Global Group
주요 목적	도메인 내 리소스에 권한 설정	도메인 간 사용자 그룹화 및 리소스 접근 권한 부여
적용 범위	한 도메인 내에서만 사용 가능	다른 도메인에서도 리소스 접근에 사용 가능
멤버 구성	같은 도메인의 사용자뿐만 아니라, 다른 도메인에서 온 그룹도 포함 가능	같은 도메인의 사용자와 컴퓨터만 포함 가능

Domain Local Group은 리소스에 대한 권한을 부여하기 위해 사용.

한 도메인 내부에서 주로 리소스에 대한 접근 권한을 관리할 때 사용됩니다.

Global Group은 같은 도메인의 사용자나 컴퓨터를 그룹화하고, 다른 도메인에서도 이 그룹에 권한을 줄 수 있습니다.

여러 도메인 간 사용자 관리를 쉽게 하기 위해 만들어집니다.

 

3) 자원에 대한 권한 관리

  자원이 공유되면 공유 폴더의 권한이 적용되는데

A 사용자는 여러 그룹에 가입되어 최종 권한은 누적(accumulated) 된다. 

 

하지만 어느 하나에서라도 deny가 있으면 모든 그룹에서의 권한은 거부가 된다.   

=>공유된 파일/폴더의 네트워크 접근에 대한 '공유폴더 권한'과 

로컬에서 접근할 때의 'NTFS 권한'과 더불어 한 사용자가 여러 그룹에 가입되었을 때의

권한 누적(그리고 deny)를 잘 알아야 한다. 

 

  홈 폴더와 로밍 프로파일

1) 사용자의 홈 폴더 

로그온한 사용자의 문서를 저장할 수 있는 네트워크 서버 내의 저장소. 

사용자 문서의 백업 중앙화, 다수의 클라이언트 머신에서 홈 폴더에 접근 가능,

그리고 모든 버전의 Windows, MS-DOS에서의 접근 가능 등의 장점이 있다. 

 

2) 사용자 로밍 프로파일 관리

  프로파일은 사용자별로 적절히 설정된 환경을 제공하는데

사용자의 데스크 탑, 프로그램 설정 등을 사용자에 맞춰서 자동으로 실행되게 한다. 

 

모든 사용자들은 관리자의 간섭 없이 컴퓨터에 로그온 할 때 자동으로 생성되는 기본 프로파일을 가지고 있다.

프로파일은 각 사용자가 로그 온/오프 시 동일한 설정을 가지게 하고, 데스크 탑 변경의 영향을 받지 않으며,

서버에 사용자 프로파일이 저장되어 있으면 어느 Windows 버전에서도 로그온 할 때 동일한 프로파일을 볼 수 있다. 

 

  프로파일에는 로컬 컴퓨터의 하드디스크에 저장되어서 로컬에서만 적용되는 Local Profile,

관리자가 서버에 생성해서 사용자가 어디서나 로그온할 때 동일하게 적용되는 Roaming Profile,

변경하지 못하게 하는 관리자만 설정할 수 있는 Mandatory Profile(이보다 GP를 사용하는 것이 더 좋다).  

 

∎ 로컬 프로파일 :  사용자가 최초로 로그온할 때 로컬 컴퓨터에 생성되어 Default User 폴더 내에 컨텐츠가 저장.  사용자가 도메인 계정과 로컬 계정 두 가지를 가지고 있으면 둘 다 사용할 수 있다.  C:\Users 폴더에 저장된다.

∎ 로밍 프로파일 :  서버에 저장되어 여러 머신을 사용하는 사용자에게 어느 머신에서 로그온하던간에 각 머신에서 동일한 설정이 적용되게 한다.

∎ 필수 프로파일 :  프로파일을 필수 프로파일로 변경하려면 숨김 파일 Ntuser.dat를 Ntuser.man으로 변경해주기만 하면 된다.  <=개별 프로파일 폴더의 구성 메뉴 > 폴더 및 검색 옵션에서 보기 > 고급 설정 > 숨김 파일 및 폴더 표시를 클릭하면 보인다.

 

  보통 서버에서 C:\RProfiles식으로 공유 폴더를 생성하고>홈 폴더를 생성하듯이 

각 사용자 계정의 사용자 속성에서>프로필 탭으로 가서>프로필 경로를

\\WIN_SER1\RProfiles\ %Username%

식으로 써준다>그리고 우클릭->공유>사용자로 Users를 넣고 ‘공동 소유’로 해준다. 

 

이 폴더를 그룹이나 OU에 공유시켜도 된다

>이제 확인해서 나가면 데스크탑 사용자 설정이 복사되고

서버에 저장되어 어디서나 접속하면 자신만의 바탕화면을 볼 수 있다. 

 

  GP(Group Policy)

GP를 통해서 AD 내의 사용자나 컴퓨터에 대해서 일괄적으로 어느 정책을 부여할 수 있는데

홈피를 고정하거나, 특정 사이트에 못 들어가게 하거나, 특정 프로그램만 지정해서 사용하게 하거나,

로그온 시 바탕화면 등이 일관되게 적용되게 하거나, 제어판을 사용자들이 조작하지 못하게 하거나,

IE를 숨기거나, DVD/USB를 사용하지 못하게 할 수 있다. 

=>GPO_명을 하나 생성하고, 이 이름에 맞는 built-in Template 정책을 상호 연계시켜 두고,

이 GPO를 특정 OU에 적용시키면 된다.

 

▪ 그룹정책(GP)을 생성 => 해당 그룹정책의 객체가 생성되는데 GPO(GP Object)로 부른다.

▪ GPO는 사용자와 컴퓨터에 대해서 적용할 수 있다. 예를 들어서 학교에서 학생들 컴퓨터와 교직원 컴퓨터를 각각 따로 관리되도록 GP를 적용할 수 있다.

▪ 사용자 GP와 컴퓨터 GP가 충돌하면 컴퓨터에 대한 GP가 우선한다.

▪ GP는 여러 도메인에서 같은 기준으로 설정될 수 있다(GPO는 복사나 이동이 가능하다).

▪ GP는 도메인 단위로 GC(Global Catalog)에 저장된다. Windows Server 2008에 내장된 GP는 현재 2,000개가 넘고 계속 늘어나는 추세이다. 마치 C, C++, Python, Java 등에서 include, import로 모듈을 불러서 사용하는 것과 유사하다.

▪ 여러 GPO가 있을 때 local GPO >site GPO >domain GPO >OU GPO 순서로 적용된다. OU는 GP를 걸수 있는 최소단위(중요, 선생님이 다섯번 반복함)이다. <=역으로 말하면 어떤 GP를 걸려면 해당 사항에 대한 OU부터 생성해 두어야 한다.  일반적으로 학생, 컴퓨터, 프린터, ..를 OU로 구분한 뒤>각 OU에 GP를 적용시킨다.

▪ GP는 폴더처럼 상속 개념이 있어서 부모에게 정한 GP는 자식에게 GP 정책이 상속된다. 따라서 상속에서처럼 GP의 상속을 재정의하거나 차단할 수도 있고, 강제로 상속시킬 수도 있다.

▪ GP가 반영되는 시점은 사용자가 로그온 할 때, 컴퓨터를 재부팅 할 때, 사용자가 강제로 그룹정책을 갱신할 때(gpupdate /force), 그리고 정책을 갱신하는 주기적인 시간(90분)이 되었을 때이다. =>그룹정책 창에서 Default Domain policy 마우스 우클릭->편집>그룹정책 편집기에서 컴퓨터 구성->정책->관리 템플릿->시스템->그룹정책 항목을 클릭하고>우측창에서 ‘컴퓨터에 대한 그룹정책 새로 고침 간격’ 속성창에서 갱신 기간을 별도로 설정해줄 수도 있다.

▪ 생성한 GPO는 C:\Windows\SYSVOL\sysvol\kahn.edu\Policies 폴더에 저장된다.

▪ GP는 도메인에 적용되기 때문에 로컬 호스트나 사용자 계정에는 개별적으로 적용되지 않는다.

▪ GP를 제거하려면, 시작>관리도구>그룹정책>좌측창에서 해당 OU를 선택하고>우측창에서 해당 정책을 우클릭한 뒤>삭제를 클릭하면 삭제된다. 메시지 창에서 확인을 클릭한다.

 

관리자는 GP를 통해서

◼ 보안설정 : 보안 강화를 위해서 도메인의 모든 사용자에 대해서 사용자의 암호 및 계정 잠금 방식 등을 지정할 수 있다.

◼ 스크립트 지정 : 사용자의 로그온/로그오프 시, 또는 컴퓨터 부팅/종료 시 자동으로 실행되는 스크립트를 지정할 수 있다.

◼ 폴더 리디렉션 : 사용자가 도메인내의 어느 머신에서 로그온 하더라도 자신의 설정이나 폴더가 동일한 환경으로 지원되게 하는 home folder나 roaming profile 방식 등을 지정할 수 있다.

◼ 소프트웨어 설정 : 도메인 사용자들이 사용할 소프트웨어에 대해서 설치, 삭제, 백업, 업데이트 등을 일괄 적용시킬 수 있다. 따라서 특정 사이트 규제, 바탕화면이나 제어판 변경 금지등도 가능하다.

◼ 하드웨어 제한 : USB, DVD, FDD 등을 물리적으로 제거하지 않아도 GPO로 사용하지 못하도록 규제할 수 있다.

 

  그룹정책은 강제로 적용되고 사용자가 변경할 수 없다. 하지만 기본설정은 이와 다르게 설정한 내용이 그룹정책으로 적용은 되지만 사용자가 변경할 수 있는 항목들이다. 

예를 들어서 시작>관리도구>그룹정책 관리>좌측 창의 사용자 구성>기본 설정>제어판 설정>인터넷 설정으로 가서 변경을 해주고>IE의 보안 탭에서 보면 이 설정이 반영되어 있다. 

=>기본설정은 사용자가 변경할 수 있다는 의미이다. 

 

  Audit(감사) 정책 

사용자의 작업이나 시스템의 활동을 추적하고 감시하는 일.

감사 정책은 관리자에게 통지할 이벤트를 지정해서 해당 이벤트가 발생되면 그 내용을 기록하는 시스템. 

 

  이벤트의 종류는 계정 로그온, 계정 관리, 디렉터리 서비스, 로컬 로그온, 개체 액세스, 그룹정책 변경, 권한 변경/사용, 프로세스 추적 이벤트 등을 설정.

이벤트 종류가 너무 많기 때문에 필요한 이벤트만 추려서 감사하는 식으로 운영.

  각 이벤트는 하위 이벤트 목록을 가지고 있다.

=>감사정책을 통해서 외부 공격을 찾고, 외부 공격에 대한 피해를 확인할 수 있으며,

향후 피해를 예방하는 정책을 수립할 수 있고, 시스템이 더 이상 성능 저하가 없게끔 유지할 수 있다.