[Window Server ] AGDLP / AGUDLP 전략

<Group 종류>

1. 보안 그룹 (Security Group) 

- 그룹에 포함된 사용자들에게 특정 개체에 대한 접근권한을 부여하거나 사용 권한을 부여하는 것이 가능

2. 배포 그룹 (Distribution Group)

- 이메일 배포를 목적으로 사용되는 group

 

Domain Local Groups

가장 큰 범위의 그룹

사용자 계정, 글로벌 그룹, 유니버설 그룹, 도메인 로컬 그룹을 담을 수 있다.

해당 그룹이 생성된 도메인 뿐만 아니라 동일 포리스트 안에 있는 다른 도메인의 구성원도 해당 그룹에 포함시킬 수 있다.

보안에서 퍼미션을 주기 위해 사용한다. 

Scope. A domain local group is visible only in its own domain. =>자기 자신의 도메인에서만 범위가 보인다.자식이나 트리루트 도메인에서는 볼 수 없다.

Permission for. You can assign permission that applies to the domain in which the domain local group exists.

Use a domain local group when you want to assign access permissions to resources that are located in the same domain in which you create the domain local group. You can add all global groups that must share the same resources

Universal Groups

글로벌 그룹을 묶기 위해서 사용하는 그룹

중간 범위의 그룹 

사용자 계정, 글로벌 그룹, 유니버설 그룹을 담을 수 있다.

해당 그룹이 생성된 도메인뿐 아니라 동일 포리스트 안에 있는 다른 도메인의 구성원도 해당 그룹에 포함시킬 수 있다.

동일 포리스트에 포함된 모든 도메인의 공유 자원에 대해 접근 권한을 부여하는 것이 가능하다.

Global Groups

사용자를 묶기 위해서 사용
포리스트 영역 내 모든 도메인에서 다 보인다. 

가장 작은 범위의 그룹=>사용자계정, 글로벌 그룹을 담을 수 있다.

해당 그룹에 생성된 도메인의 구성원만 포함이 가능하다.

동일 포리스트에 포함된 모든 도메인의 공유 자원에 대해 접근권한을 부여하는 것이 가능하다.

Scope. A global group is visible in its domain and all trusted domains, which include all of the domains in the forest.

Permissions. You can assign permission to a global group that applies to all trusted domains

글로벌  < 유니버셜 < 도메인 로컬 

 

A G DL P 란 ?

a - account
G -group
DL - domain local group
P - permission

 

■ There are three types of user accounts

 

1. A local user account

로컬 유저

enables a user to log on to a specific computer to access resources on that computer.

 

2. A domain user account

도메인 유저

enables a user to log on to the domain to access network resources or to log on to an individual computer to access resources on that computer.

 

3. A built-in user account

enables a user to perform administrative tasks or gain temporary access to network resources.

 

---

실습

 

부모 도메인 x.com 을 만들고 난후 

 

자식 도메인 설정하기 

1. WC2008 computer에서 dcpromo 를 사용하여 

 

위의 방식으로 도메인을 만드는것을 완료해 주시고, WD2008에서 xx.x.com의 도메인으로 설정해줍니다. 

 

Tree Root DC  ,Tree 도메인 설정하기

맨 처음 설치 시작시 고급 설치 모드를 설정한 후 다음을 눌러주세요!

기존 포리스트에 새 도메인 만들기를 선택하여 새 도메인 트리 루트 만들기를 선택합니다. 

다음은 y,com도메인을 적고 자격 증명을 할때는 Forest Root의 계정의 아이디와 비밀번호를 적어줍니다.

새 도메인 트리 루트를 y.com으로 지정하여 설치를 완료해 주면 성공!

---

 

A G DL P 전략

1. WA2008에서 A, G, DL의 조건을 설정해 줍니다. 

인사부 1의 속성에 들어가면 구성원으로 user을 포함시켜주고, 소속그룹으로 DL의 그룹인 인사부를 연결시켜줍니다.

그후 WB에서 폴더를 만들어 공유를 위의 조건으로 설정해 주고

WD에서 user1~5@x.com으로 로그인하여 조건이 제대로 적용되었는지 확인해볼수 있다. 

 

---

A G U DL P 전략

유니버셜 그룹

 

각 각의 도메인의 위치를 지정해서,글로벌 그룹을 넣어줍니다. 

WD2008 => user1@x.com, user2@xx.x.com , user3@y.com 으로 각각 로그인하여 \\192.168.30.2 로 접속하여 공유폴더를 확인해봅니다.