AD란 무엇인가
AD(Active Directory)는 윈도우 기반의 중앙집중관리 서비스를 말한다.
주로 사용자 계정 관리, 그룹 정책 관리 용도로 사용된다.
AD 구축
※ 환경은 Hyper-V의 Windows Server에서 하였습니다.
1) Windows Server 내에 있는 서버관리자 접속 -> 로컬 서버 -> 역할 및 기능 추가 -> 역할 기반 또는 기능 기반 설치 -> 서버 풀에서 서버 선택 -> ‘Active Directory 도메인 서비스’ 선택하여 설치
2) 이 서버를 도메인 컨트롤러로 승격 -> AD 도메인 서비스 구성 마법사에서 ‘새 포리스트를 추가합니다’ 선택 후 루트 도메인 이름 입력(Ex redstone.ai) -> DSRM(디렉터리 서비스 복원 모드) 암호 입력 -> 설치 진행 완료(자동 재부팅됨)
AD 설정
1) AD DS에서 도구 -> ‘Active Directory 사용자 및 컴퓨터’ 실행하고 작업표시줄에 고정시키기 -> 도메인(redstone.ai) 우클릭하여 조직 구성 단위 새로 생성 -> 사용자 또는 컴퓨터 계정 생성하기(사용자와 컴퓨터 두 개 다 생성하기)
2) AD 사용자 및 컴퓨터 -> 사용자 계정 생성 -> 생성한 계정 속성 변경 -> ‘소속 그룹’ 탭에서 ‘Domain Admins’ 추가하기
3) AD DS에서 도구 -> ‘그룹 정책 관리’ 실행하고 작업표시줄에 고정시키기 -> 그룹 정책 개체에서 새로운 그룹 정책 생성 -> 그룹 정책에서 ‘보안 필터링’ 추가를 통해 정책 적용시키는 객체 선택 -> 그룹 정책 우클릭하여 편집 -> 편집하려는 정책 선택하여 설정하기
AD 연결
※ 환경은 Windows 기반의 Client PC
0) 사전에 AD 서버에서 User 생성해주기(클라이언트 접속용)
* 패스워드 강제 변경을 설정하면 계정 적용 부분에서 user 사용 시 안될 수 있음
1) PC의 IP 설정해주기, DNS는 DC(도메인 컨트롤러)의 IP 입력
2) 제어판 -> 시스템 -> 이 PC의 이름 바꾸기(고급) -> 컴퓨터 이름 및 도메인 변경(AD의 도메인 입력)
3) AD 적용할 계정 입력하는 부분에서 미리 생성해놓은 User 입력하기
4) 그룹 정책 관리에서 사용자 계정 정책을 설정한 경우 계정으로 적용되므로, 기존 로컬 계정 로그아웃하고 AD에서 생성한 사용자 계정명과 비밀번호 입력하기
5) AD 연결 확인을 위해 cmd에서 gpresult /r 입력하기
※ 로컬 계정(또는 다른 계정)으로 접속을 원하는 경우
- ad계정명\로컬계정명 을 사용자 이름 란에 입력하고 암호 입력해서 로그인하기
※ 사용자 정책 및 컴퓨터 정책은 90분 정도마다 적용된다. 따라서 바로 적용 안될 수 있다.
- powershell 또는 실행창(윈도우+r)에서 gpupdate /force 명령어를 통해 강제 정책 적용 가능
- 제대로 설정했는데 정책 적용되지 않는 경우(액세스 거부), 컴퓨터에 대한 그룹이면 재부팅 필요하고 사용자에 대한 그룹이면 로그온/오프가 필요함
※ AD Client PC를 RDP로 접속한 경우 클립보드 복사 붙여넣기 차단 방법
- AD에서 [컴퓨터 정책 적용시] 그룹정책관리편집기 - 컴퓨터 구성 - 정책 - 관리 템플릿 - Windows 구성요소 - 터미널 서비스 - 원격 데스크톱 세션 호스트 - 장치 및 리소스 리디렉션 이하 항목에 보면 클립보드 리디렉션 허용 안 함 부분에서 설정
- [사용자 정책]에도 걸어놓기
- 그리고 Client PC에서 복사 붙여넣기 테스트 진행
- 혹시 복사 붙여넣기가 성공할 경우, 작업관리자 - 세부설정에서 rdpclip.exe를 종료시키고 재부팅하기
