Active Directory를 운영하는 가운데, OU나 보안 그룹이라는 단어는 자주 들었지만 실제로 조작하는 화면과 연결되지 않는 상태가 과거의 내 경험으로 있었습니다. 그래서 Active Directory 사용자와 컴퓨터를 다루는 빈번한 OU와 보안 그룹에 대해 이미지 많게 정리해 보았습니다.

OU (Organizational Unit, 조직 단위)

아래 이미지의 빨간색 테두리로 둘러싸인 것이 OU입니다.


사실, 빨간색 테두리로 둘러싸여 있지 않은 것(기본적으로 작성된 Users 등)은 OU가 아닙니다. 구별 방법으로는 아래 그림과 같이 폴더 마크 안에 모양이 그려져 있는지 여부로 판별할 수 있습니다. (Users의 객체에 대해 dsquery하면 CN = Users로 표시되며 OU가 아니라는 것을 알 수 있습니다.)


OU를 이용하는 장면으로는 그룹 정책의 배달 관리를 들 수 있습니다. 다음 이미지에서는 도메인 전체에 Default Domain Policy가 적용되고 Domain Controllers의 OU에 Default Domnain Controllers Policy가 적용됩니다.

OU 새로 만들기

오른쪽 클릭 → 신규 작성 → 조직 단위 (OU)에서 이름을 넣고 OK 버튼을 누르면됩니다. 간단.

OU 삭제

OU 삭제는 귀찮습니다. 라고 하는 것도, 오른쪽 클릭해 삭제하려고 하면, 다음과 같은 메세지가 표시되는 일이 있습니다. 이는 OU 삭제를 방지하기 위한 보호 기능이 작동하고 있기 때문입니다. OU를 만들 때 "잘못 삭제되지 않도록 컨테이너 보호"에 기본적으로 체크가 들어가는 사양으로 되어 있으며, 이 보호를 해제하지 않으면 OU는 삭제할 수 없습니다.

이 보호를 해제하려면 다음 단계를 수행해야 합니다.

보기 메뉴에서 확장 기능을 선택합니다.

삭제하고 싶은 OU의 프로퍼티를 열어, 오브젝트 탭의 「실수로 삭제되지 않게 오브젝트를 보호한다」의 체크를 해제한다

OU를 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭합니다.

표시 메뉴에서 확장 기능을 선택 해제

보안 그룹

아래 이미지의 빨간색 테두리로 둘러싸인 것이 보안 그룹입니다. 종류의 란에 보안 그룹이라고 기재가 있으므로 OU보다는 알기 쉽다고 생각합니다.


보안 그룹을 이용하는 장면으로는 파일 서버의 권한 관리를 들 수 있습니다. 사용자 단위로도 권한을 흔들 수는 있지만 그룹 단위로 흔들어주는 편이 관리하기 쉽습니다.

새 보안 그룹

마우스 오른쪽 버튼을 클릭 → 새로 만들기 → 그룹에서 그룹 이름을 입력하고 그룹 유형으로 "보안"을 선택하고 확인을 클릭합니다. 그룹의 범위는 세 가지이며 단일 포리스트 및 단일 도메인의 Active Directory는 구별 할 수 없습니다. 다른 보안 그룹과 함께 하는 것이 무난할 것입니다.

보안 그룹 삭제

삭제 절차는 OU와 동일합니다. OU와 달리 기본적으로 보호는 작동하지 않으므로 쉽게 삭제할 수 있습니다.