250205 Active Directory 사용 권한, 그룹, 리소스, 분산

◆ 사용 권한 Permission

 - 관리자가 공유 리소스에 대해 특정 사용자 (그룹)에게 사용 승인을 해 주는 것이며,

    수준별로 할당할 수 있다.

  읽기 / 읽기 및 실행 / 쓰기 / 수정 / 모든 권한

 

 <실습>

  ㄴ london 서버에 [자료] 공유폴더를 생성한 후 아래와 같이 퍼미션을 할당하자 (실수로 seoul에서 실행, 수정)

    user1 읽기  /  user2 쓰기  /   user3 수정  /  user4 모든 권한

  ㄴ이렇게 완성되면 user1에서는 읽기만 가능해지며,

      user2에서는 파일생성 및 내용입력, 수정은 가능하나 이름변경 등 파일에 관한 수정은 불가하며,

      user3, 4 계정은 웬만한 사항이 다 가능하며 user3은 일부가 안될 수 있다

 

  수정과 모든 권한의 차이점은 Take Ownership이다 = 소유권 가져오기

 

 <실습>

  user1은 그룹A과 그룹B의 구성원이다

  그룹핑하는 기준은 동일한 사용권한이 필요하냐는 것이다

  user1은 그룹B의 구성원이나

  폴더A에 대해 읽기권한, 그룹B에는 쓰기권한만을 할당하였다 (내부에 문서1을 제작하여 넣음)

  그렇다면 폴더A 안에 저장된 파일들에 대해 user1은 어떤 작업을 할 수 있을까?

   ㄴ둘다 가능해진다 > 사용권한의 누적

 

 <실습>

  문서1 파일의 속성에서 그룹A를 추가하고 쓰기 거부 설정을 하고, 그룹B는 폴더에 대해 쓰기 허용을 하면

  user1은 해당 문서에 대해 어떤 작업을 할 수 있을까요?

  ㄴ쓰기가 되지 않는다

  

◆ 그룹

 - 공유 자원에 대한 사용권한 관리를 하기 위한 사용자의 집합

 - 각 사용자 별로 사용권한을 할당하는 것보다 동일한 권한이 요구된다면 사용자들을 하나의 그룹으로 묶고 그룹에 대해 한꺼번에 사용권한을 할당하는 것이 

 ※주의사항으로 그룹범위는 만든 후 수정불가하기에 주의필요

 

 ㄴ범위

   1. 글로벌 그룹

     - 사용권한이 동일한 사용자 계정들을 조직화하기 위한 그룹

     ㄴ 동일 직무  //  동일 직급  등이 같다면 미리 그룹으로 만들어두면 된다

     ㄴ 한 사람이 여러 개의 글로벌 그룹에 참여가능하다

   2. 유니버셜 그룹 : 다중 도메인에서 사용한다

      ㄴ 예를 들어 모비스의 엔진 담당자가 있다. mobis\user100

           현OO사의 재고.xls 파일을 매주 열어보고 납품할 계획을 세운다

          > H사 ↔ M사 도메인 간에 트러스트 관계를 먼저 형성    //    H\재고 ← 유니버셜 모비스 mobis\user100

   3. 도메인로컬 그룹

     - 공유 리소스에 대해 사용권한을 할당하기 위한 그룹

     - 필요한 사용권한의 개수에 따라 결정이 된다

 

  ※리눅스는 대기업과 같은 다양한 사람과 분야에 대해 정리하는 게 어렵기에 윈도우 서버가 사용된다

 

  <실습>

   seoul의 [부품재고] 공유폴더에 대해 모든 영업부 직원들은 볼 수 있어야 하고,

   대리(user3)은 읽고 쓰기, 간부(과장(user4), 부장(user5))는 삭제도 할 수 있도록 설정하시오

 

    A (계정) → G 글로벌 그룹 → DL 도메인로컬 ← P 퍼미션 할당 ← 공유자원

 

  1. 글로벌     G영업 / G대리 / G간부

  2. 도메인로컬    공유리소스와 사용권한으로 명명

                            부품재고R / 부품재고RW / 부품재고D

  ㄴR은 읽기, RW는 읽고쓰기, D는 수정까지 가능하도록 설정

  ㄴ그렇기에 영업→R, 대리→RW, 간부→D 로 그룹설정

 

     - 글로벌 그룹 생성 후 사용자 추가

     - 도메인로컬 그룹 생성 후 공유 리소스에 대해 퍼미션 할당

     - 요구사항에 맞게 도메인로컬 그룹에게 글로벌 그룹을 추가 = 그룹의 중첩
 ※ 만약 user1이 홍보부로 이동했으면 드래그로 이동시키면 되고 그룹안에서 사용자를 구성원에서 제거하면 된다

6425C_06 Group Policy.ppt

1.90MB

 

◆ 파일서버 리소스 관리 (FSRM)

 - 파일 서버의 경우 다수가 이용하는 서버인 관계로 디스크 관리가 중요하다.

 - 과도하게 많은 용량을 업로드 한다든지 불필요한 파일을 저장하는 것은 관리할 필요가 있다

 ㄴ새볼륨을 하나 더 추가하여 설치

  ㄴ원래 오프라인이기에 온라인으로 변경 후 초기화 하여 활성화하기

 

 할당량 : 차단 속성 - 공유 : 모두공유

 보안 : 편집, 추가 - G영업 추가한 후 읽기, 쓰기 추가

 

 

 서버관리자

 관리 > 역할 및 기능추가 > 서버 역할 : 파일 및 저장소 서비스 - 파일 및 ISCSI 서비스 - 파일서버 리소스 관리자

                                                         원격 서버 관리 도구 - 역할관리 도구 - 파일 서비스 도구 - 파일서버리소스 관리자 도구

 

 

 

 파일 쿼터 (폴더레벨에서의 할당량 제한)

 ㄴ서버관리자 > 도구 > 파일서버 리소스 관리자 : 할당량 관리

  할당량 : 할당량 만들기 하여 템플릿의 100MB로 할당량 폴더에 할당

 이렇게 완료한 후 다른 서버에서 할당량 폴더로 파일 업로드를 할 시 100MB 이상이 되면 되지 않는 것을 볼 수 있다

 

 파일 스크리닝(차단)

  파일서버 리소스 관리자 : 파일 차단 관리 > 파일 차단 > 만들기 : 차단 경로(K\차단), 사용자 지정파일 정의 : 이미지파일

 완료한 후 해당 차단폴더로 이미지 파일을 업로드 하려하면 되지 않는 것을 볼 수 있다

 

◆ 분산파일 시스템 DFS

 - 조직은 시간이 지남에 따라 성장하게 되고 직원의 수와 네트워크, 공유 리소스의 수는 커지게 된다

 - 관리자는 관리해야 할 리소스의 수가 증가하게 되고, 일반 사용자는 자신이 이용해야 하는 리소스의 개수(즉, 주소)가 늘어나게 된다.

 - 양쪽 모두 기억해야 하는 리소스의 주소가 늘어난다

 

 ※ 문제점

   - 알아야 하는 주소의 개수가 많다

   - 미래에 리소스의 이름, 주소 등이 변한다

 ※ 해결방안

   - 실제 물리적인 위치(주소)가 아닌 논리적인 View를 제공함으로서 일반 사용자들은 실제 위치로 검색을 하는 것이 아닌

      논리적인 보기에서만 검색을 할 수 있도록 하는 것

 

 서버        공유폴더       저장파일

 seoul   > doc0 홍보  > 홍보자료

 london > doc1 고객  > 고객명단

 boston > doc2 제품  > 신제품정보

 tokyo   > doc3 실적  > 실적대장

 ㄴ각각의 서버에 폴더를 만들고 그 안에 파일 생성 (모든 서버에서는 관리자계정으로 생성)

  이렇게 여러군데로 흩어진 자료들을 모아서 볼 수 있는 것이 DFS 라는 분산 파일 시스템이다.

  서버관리자 > DFS 관리 : 네임스페이스 > 새 네임스페이스

      서버 : seoul > 이름 : SalesData, 설정 : 관리자 모든/ 기타 읽기

 

  네임스페이스 > \\no~~~ : 새 폴더

        이름 : 홍보 / 고객 / 제품 / 실적

        추가 > 찾아보기 > 서버 불일치 시 찾아보기 > 고급 > 지금찾기 : 원하는 서버를 클릭하여 확인

                                      서버 일치 시 공유폴더 중 원하는 폴더 선택하여 확인

 

 이제 새 네임스페이스인 HR을 추가 제작하여 준다

  ㄴ기타부서는 읽기 권한만, 홍보부는 쓰기 권한을 추가하여 부여한다