도메인 구조

Active Directory 및 도메인 구조 정리

1. 도메인 및 사용자 로그인

Kahn.edu 서울 도메인

• 사용자 seoul1은 서울 도메인에 속한 모든 워크스테이션에서 서울 도메인으로 로그인 가능
• 부산 도메인의 워크스테이션에서도 서울 도메인으로 로그인 가능
  • 이는 kahn.edu와 pusan.kahn.edu가 Trust 관계를 맺고 있기 때문
  • 부산 도메인 워크스테이션은 하나의 터미널(Terminal) 역할을 함
• seoul1 사용자는 부산 도메인 사용자 계정이 아니므로 부산 도메인으로 로그인할 수 없음

로컬 로그인

• win7/admin 형식으로 로그인하려면 해당 win7 머신에 admin 계정이 있어야 함
• seoul1 사용자는 win7 머신의 계정이 아니므로 win7/seoul1 방식으로 로그인 불가

---

2. Linux와 Windows Server 연계

• Linux 머신을 Windows Server 도메인의 워크스테이션으로 가입 가능
• Windows Server에서 Linux 시스템을 인증하려면 먼저 Kerberos 또는 LDAP 서버 구축 필요

---

3. 도메인 관리

PDC에서 하위 도메인 관리

• kahn.edu의 PDC에서 pusan.kahn.edu 도메인을 관리 가능 (Trust 관계 덕분)

MMC (Microsoft Management Console)

• Windows PDC에서 여러 도메인을 통합적으로 관리하는 콘솔
• 여러 Snap-in을 추가하여 다양한 관리 작업 수행 가능

원격 접속 및 자원 공유

• kahn.edu 메인 서버에서 pusan.kahn.edu 서버로 원격 접속 가능
• pusan.kahn.edu 서버에서 kahn.edu 서버의 자원을 이용하려면 서울에서 설정 필요

---

4. AD (Active Directory) 사용자 계정과 OU

사용자 계정 유형

1. 로컬 사용자 계정: 특정 호스트에만 로그인 가능
2. 도메인 사용자 계정: 도메인 내 워크스테이션 어디서든 로그인 가능

• 예: paul 사용자가 KAHN 도메인으로 로그인할 경우
  • NetBIOS Name: KAHN\paul
  • UPN Name: paul@kahn.edu
  • Distinguished Name: CN=paul, OU=조직구성단위_이름, DC=kahn, DC=edu
  • Relative Distinguished Name: CN=paul (OU 안에서만 사용 가능)

OU (Organizational Unit)

• AD 내 다양한 객체(사용자, 그룹, 프린터, 컴퓨터)를 포함하는 컨테이너
• 특징:
  • 그룹 정책(GPO) 적용 최소 단위
  • 권한 부여 불가 (그룹과 차이점)
  • OU 안에 또 다른 OU 포함 가능
  • 한 사용자는 하나의 OU에만 소속 가능

Group (그룹)

• 특징:
  • 사용자만 포함 가능
  • 권한 부여 가능
  • 그룹 안에 그룹 포함 불가
  • 한 사용자는 여러 그룹에 가입 가능

사용자 권한

• 권한은 누적되며, deny(거부) 설정이 하나라도 있으면 전체가 거부됨

---

5. 도메인 자원 관리

프린터 관리 예시

• Seoul_printer OU 및 Pusan_printer OU 생성 후 도메인별 프린터 등록
• 사용 시간 및 사용자 제한 가능

로그인 정책

• 도메인 사용자(서울/부산)는 어느 워크스테이션에서든 자신의 도메인 계정으로 로그인 가능
• 단, 도메인 서버에는 Administrator 이외에는 직접 로그인 불가 → 워크스테이션을 통한 로그인만 가능

---

6. Windows Server 그룹 관리

그룹 적용 순서

1. 그룹 생성
2. 권한 할당 (읽기, 쓰기, 실행 등)
3. 사용자 추가 → 해당 권한 적용

그룹 종류

1. Domain Local Group
   • 자원: 해당 도메인 내 자원만 사용 가능
   • 사용자: 모든 도메인의 사용자 포함 가능
2. Global Group
   • 자원: 다른 도메인의 자원 사용 가능
   • 사용자: 해당 도메인의 사용자만 포함 가능
3. Universal Group
   • 자원: 모든 도메인의 자원 사용 가능
   • 사용자: 모든 도메인의 사용자 포함 가능

💡 자원이 있는 곳에서는 Domain Local Group을 생성하고, 자원이 없는 곳에서는 Global Group을 생성하여 연계함.

그룹 예제

• kahn.edu에서 공유 데이터를 생성하고, seoul1과 pusan1이 접근하도록 설정
  1. kahn.edu에서 Domain Local Group 생성 후 seoul1 추가
  2. pusan.kahn.edu에서 Global Group 생성 후 pusan1 추가
  3. kahn.edu의 자원에 Domain Local Group과 Global Group 모두 접근 가능하도록 설정

Local Group

• 도메인과 무관하게 해당 로컬 머신의 자원만 사용 가능

---

7. 결론

• Trust 관계 덕분에 서울/부산 도메인 간 자원 공유 및 사용자 로그인 가능
• OU는 자원 관리 용도로 사용되며, 권한은 그룹을 통해 부여됨
• Windows Server의 그룹 정책을 활용하여 효율적인 사용자 및 자원 관리를 수행 가능

kahn.edu  
│  
├── OU: 관리부  
│   ├── 서울 1 (사용자)  
│   ├── 서울 2 (사용자)  
│  
├── OU: 영업부  
│   ├── OU: 국내부  
│   │   ├── 서울 3 (사용자)  
│   │  
│   ├── OU: 해외부  
│       ├── 서울 4 (사용자)  
│  
├── OU: 부산  
│   ├── 부산 1 (사용자)  
│   ├── 부산 2 (사용자)  
│  
├── 그룹 (서울)  
│   ├── seoul_domainlocal  
│   │   ├── (구성원) 서울 1, 부산 1  
│   ├── seoul_global  
│   ├── seoul_universal  
│  
├── 그룹 (부산)  
│   ├── busan_domainlocal  
│   │   ├── (구성원) 부산 2  
│   ├── busan_global  
│   ├── busan_universal  
│  
└── 공유 폴더 설정  
    ├── WinSer1 (서버)  
    │   ├── C:\seoul_RES (공유) → seoul_domainlocal 그룹 권한 부여  
    │   ├── C:\busan_RES (공유) → busan_domainlocal 그룹 권한 부여