AD 도메인 서버 구축 (2) - AD 도메인 신뢰 관계 및 도메인 그룹 정책
3165 단어 Windows & 단축 방법AD 도메인 구축 ✍
문제
같은 도메인에서 구성원 서버는 Active Directory의 사용자 계정에 따라 도메인 사용자에게 자원을 쉽게 할당할 수 있습니다.그러나 한 개의 영역의 역할 범위는 한계가 있기 때문에 일부 기업은 여러 개의 영역을 사용할 수 있다. 그러면 다중 영역 환경에서 우리는 어떻게 자원의 크로스 구역 분배를 해야 합니까?
해결 방법
1.미러 계정
어떻게 A 도메인의 자원을 B 도메인의 사용자에게 분배합니까?
방법: A역과 B역에서 각각 사용자 이름과 구령이 똑같은 사용자 계정을 만들고 B역에서 자원을 이 계정에 분배하면 A역 내의 거울 계정은 B역 내의 자원에 접근할 수 있다.
문제점: 계좌의 중복 건설 등
2. 도메인 신뢰 관계 만들기
1. 도메인 신뢰 관계는 방향성이 있다. 만약에 A도메인이 B도메인을 신뢰한다면 A도메인의 자원은 B도메인의 사용자에게 분배될 수 있다.그러나 B역의 자원은 A역의 사용자에게 분배할 수 없습니다. 이 목적을 달성하려면 B역이 A역을 신뢰해야 합니다.2. A역이 B역을 신뢰하면 A역의 컨트롤러는 B역의 사용자 계정을 자신의 Active Directory에 복사하여 A역 내의 자원을 B역의 사용자에게 분배할 수 있다.이 과정을 보면 A역 신뢰 B역은 먼저 B역의 동의를 받아야 한다. 왜냐하면 A역 신뢰 B역은 먼저 B역에서 자원을 받아야 하기 때문이다.
도메인 신뢰 관계
도메인의 신뢰 관계의 주동권은 신뢰 도메인이 아니라 신뢰 도메인에 있습니다.A역이 B역을 신뢰한다는 것은 A역의 자원이 B역 사용자에게 분배될 가능성이 있지만 필연성이 아니라는 것을 의미합니다!자원을 할당하지 않으면 B 도메인의 사용자는 자원을 얻을 수 없습니다!
NT4에서 Windows 2000으로의 도메인 관계 변환
NT4의 도메인 시대
신뢰 관계는 전달성을 가지지 않는다.즉, A 도메인이 B 도메인을 신뢰하고 B 도메인이 C 도메인을 신뢰하면 A 도메인과 C 도메인은 아무런 관계가 없습니다.
Windows 2000 이후.
필드 트리와 필드 숲 내에서 신뢰 관계를 전달할 수 있도록 하는 것은 Win2003에서 필드 숲 사이에서 신뢰 관계를 전달할 수 있도록 하는 것이다.
도메인 트리
도메인 트리는 상기 문제에 대해 잘 해결되었다. 도메인 트리의 부역과 자역 사이에는 차원이 뚜렷한 DNS 도메인 이름을 사용하기 때문에 도메인 이름에 따라 우리는 두 개의 도메인의 예속 관계를 판단할 수 있다. 예를 들어 두 개의 도메인 abc가 있다.com 및 test.abc.com, 우리는 후자가 전자의 자역이라는 것을 쉽게 판단할 수 있다.
도메인 트리는 신뢰 관계에서도 좋은 개선이 있다. 도메인 트리 내의 각 도메인 간에 쌍방향 전달 가능한 신뢰 관계를 자동으로 구축하는데 이것은 분명히 효율적인 중대한 개선이다.
AD 도메인 그룹 정책
개념
그룹 정책은 사용자나 컴퓨터에 대한 구성을 수행할 수 있는 인프라입니다.사실 통속적으로 말하면 그룹 정책은 등록표와 유사하여 사용자나 컴퓨터 설정을 수정할 수 있는 기술이다.
그룹 정책과 등록표의 차이
;
。
예를 들어 1000명의 사용자를 가진 기업에서 만약에 우리가 등록표로 설정을 한다면 우리는 1000대의 컴퓨터에서 각각 등록표를 수정해야 할 것이다.그러나 그룹 정책을 바꾸면 그룹 정책을 만들고 적당한 등급을 통해 1000대의 컴퓨터에 배치하면 된다.
그룹 정책과 Active Directory를 결합하여 사용하면 OU, 사이트와 도메인의 등급에 배치할 수 있고 물론 로컬 컴퓨터에 배치할 수도 있지만 로컬 컴퓨터에 배치할 때 그룹 정책의 모든 기능을 사용할 수 없고 Active Directory와 협조해야만 그룹 정책이 모든 잠재력을 발휘할 수 있다.그룹 정책이 서로 다른 등급에 배치되는 우선순위는 로컬 컴퓨터에 따라 다르다.우리는 관리 임무에 따라 그룹 정책에 적합한 배치 단계를 선택할 수 있다.
그룹 정책 객체란 무엇입니까?
그룹 정책은 지정된 사이트, 도메인 또는 OU, GPO에 GPO를 연결하면 해당 사이트, 도메인 또는 OU 내의 모든 사용자가 컴퓨터에 영향을 미치는 그룹 정책 객체(GPO)를 통해 설정됩니다.
1. GPO Active Directory
2. Sysvol
그룹 정책 객체 GPO 구성
1. (GPC)
GPC GPO ,
2. (GPT)
GPT GPO ,
Sysvol /Policies
그룹 정책 관리
그룹 정책 관리는 그룹 정책 편집기 및 그룹 정책 관리 콘솔(GPM)을 통해 가능합니다.
그룹 정책 편집기는 Windows 운영 체제에서 GPO의 설정을 수정할 수 있는 자체 그룹 정책 관리 도구입니다.GPMC는 더욱 강력한 그룹 정책 편집 도구로 GPMC는 GPO를 창설, 관리, 배치할 수 있고 최신 GPMC는 마이크로소프트 사이트에서 다운로드할 수 있다.
;
。
1. GPO Active Directory
2. Sysvol
1. (GPC)
GPC GPO ,
2. (GPT)
GPT GPO ,
Sysvol /Policies
그룹 정책 적용
1. 계정 정책 설정
예를 들어 사용자 비밀번호의 길이, 복잡도, 사용 기한, 계정 잠금 정책 등을 설정한다.
2. 로컬 정책 설정
예를 들어 감사 정책 설정, 사용자 권한 할당, 보안 설정
3. 소프트웨어 배포
생각배포할 소프트웨어를 파일 서버의 공유 폴더에 저장하기2.그리고 그룹 정책을 통해 사용자나 컴퓨터에 모모 서버의 모모 폴더에 설치할 소프트웨어가 있음을 알려주고 빨리 설치를 다운로드하세요.3. 그룹 정책을 설정하면 클라이언트가 자동으로 소프트웨어 설치를 진행할 때까지 기다릴 수 있습니다. 클라이언트에 일일이 배치할 필요가 없습니다.