[Win2016] Window Active Directory 기초 [AD 설치 / 도메인 등록 및 해제 / 계정 생성]

- [Windows] Windows Active Directory 알아보기 에서 간단하게 AD에 관해 알아보았다. 

[Windows] Windows Active Directory 알아보기

- 이번에는 직접 AD를 설치하고 해제하며 변경된 점을 통하여, AD를 사용하는 이유를 알아볼 예정이다.

 

---

[목록]

1. Domain Controller 설치

2. Domain Controller 설정

3. Domain Controller 변경된 점 확인

4. Domain 가입

5. Domain 구성원 해제

6. 사용자 계정 

---

[Window Active Directory 기초]

---

1. Domain Controller 설치

- 서버 관리자에서 [Active Directory 도메인 서비스] 및 [DNS 서버] 를 선택하여 설치한다.

 

 

2. Domain Controller 설정

- 설치가 완료되면, 알림이 오는데, 설치한 Server에 Active Directory 도메인 서비스 구성이 필요하다는 내용이다.

- [이 서버에 도메인 컨트롤러로 승격]을 클릭하여, Domain Controller 설정을 진행한다.

 

2.1) 배포 구성

- [새 포리스트를 추가합니다] 를 선택한다. 

- 루트 도메인 이름에는 원하는 도메인 이름을 지정한다.

 

- 포리스트 관련 정보는 추후에 자세하게 다룰 예정이다.

- 포리스트는 하나 이상의 도메인 트리 집합이다. 첫번째 도메인 트리의 연속된 이름이 아닌 다른 도메인 이름을 사용하는 추가 도메인 트리가 있는 AD 구조를 포리스트라 한다.

Active Directory(AD)의 맥락에서 "포리스트"는 공통 구조, 보안 정책 및 스키마를 공유하는 하나 이상의 도메인 모음을 말한다. Active Directory 내에서 가장 높은 수준의 조직이다. 각 트리가 도메인을 나타내고 모든 트리가 연결되어 있고 몇 가지 중요한 규칙을 공유하는 크고 마법의 포레스트와 같다고 생각하면 된다. # 참고 : ChatGPT

 

 

2.2) 도메인 컨트롤러 옵션

- 암호를 입력하고 [다음]으로 넘어간다.

 

 

2.3) DNS 옵션

- 지금은 기초적인 설정만 진행하기 때문에 [다음]으로 넘어간다.

 

 

2.4) 추가 옵션

- 지금은 기초적인 설정만 진행하기 때문에 [다음]으로 넘어간다.

 

2.5) 경로

- 지금은 기초적인 설정만 진행하기 때문에 [다음]으로 넘어간다.

- Windows Server가 Standalone으로 동작할 때는 SAM이라는 파일이 데이터베이스였지만, 중앙 통제 방식인 AD로 등록되면, Domain Controller에 모든 데이터베이스 / 로그 파일 및 SYSVOL 폴더를 지정하여 관리된다. 기본값으로 지정하고 넘어간다.

 

2.6) 검토 옵션

- 현재까지 설정한 구성을 재확인하는 옵션이다. [다음]을 눌러 다음으로 넘어간다.

 

 

2.7) 필수 구성 요소 확인

- 필수 구성 요소를 확인하는 옵션인데, 지금은 다루지 않을 것이기 때문에 [설치]를 눌러서 다음으로 넘어간다.

 

 

- [설치]가 마무리되면 시스템이 재시작되면서, 아래와 같은 Login 창이 출력된다.

- 기존에는 계정만 입력했다면, 지금은 도메인과 함께 입력하여 Login 하는 방식으로 변경되었다.

- 이렇게 변경된 점을 하나씩 살펴보자.

 

 

3. Domain Controller 변경된 점 확인

3.1) IPv4 속성 확인

- 기본 DNS가  127.0.0.1 으로 변경되었다. 테스트를 위해 192.168.1.103(DC IP)으로 변경했다.

 

 

3.2) 사용자 계정 생성

- 기존에는 [컴퓨터 관리] 에서 사용자 관련 설정, 생성 / 삭제와 같은 작업을 진행할 수 있었다.

- AD가 설치된 Domain Controller에서 도메인에 등록된 Computer 의 계정을 관리하기 때문에 [Active Directory 사용자 및 컴퓨터]로 이관(?) 된 것을 확인할 수 있다. 이를 통하여 AD를 사용하는 이유를 알 수 있다. Active Directory는 도메인 내부에 있는 커다란 주소록과 같아서 모든 사용자들의 계정을 파악하고 관리할 수 있다.

 

3.3) DNS 관리자

- [DNS 관리자] 에서도 많은 변화가 생겼는데, Domain Controller 설정을 진행할 때 입력했던, 도메인 영역 내부에 다양한 데이터들이 생겼다.

- 그 중에서, LDAP 라는 이름의 데이터도 볼 수 있는데, LDAP은 AD의 개체에 대한 질의를 위해 사용돠는 프로토콜이다. 

- AD를 사용하는 모든 응용프로그램 및 서비스들의 요청은 LDAP을 이용하여 처리한다. 그래서 AD가 설치되어 있는 도메인 컨트롤러를 LDAP 서버라고도 부를 수 있다.

 

* LDAP 패킷 캡쳐

 

 

 

4. Domain 가입

4.1) 통신 확인

- 이제 tiene.vm 라는 도메인 영역에 Windows Server 들을 가입시켜고 한다.

- 먼저, tiene.vm으로 Ping을 보냈을 때 정상적으로 동작하는지 확인한다.

 

4.2) 소속 그룹 변경

- 등록할 Windows Server로 이동하여, [시스템]으로 접속한다. 접속하면 중간에 [설정 변경]이 있다. 진입한다.

 

- 아래 사진과 같이 변경하면 된다. [변경]을 누르고 [도메인] 에 등록할 도메인 영역 이름을 입력하면, 등록할 도메인의 관리자 계정의 패스워드를 요구하는 창이 출력된다. 입력 후 확인을 누르고 재시작을 누른다.

 

 

- 위와 같이 진행하여 두 대의 Window Server를 등록하였다.

 

 

5. Domain 구성원 해제

- 4.2) 소속 그룹 변경 에서 진입했던 곳으로 다시 돌아간다. 돌아가서 도메인이 아닌 [작업 그룹] 으로 선택한다.

- [작업 그룹] 공란에는 원하는 값을 입력하면 된다. 입력 후, [확인]을 누르면, 계정/패스워드를 요구하고 모두 입력하면 아래와 같이 작업 그룹 시작이라는 알림과 함께 재부팅이 시작한다.

 

 

- 재부팅된 이후에 작업 그룹이 변경된 것을 확인할 수 있다.

 

 

 

 

6. 사용자 계정 

6.1) 사용자 계정 추가

- [Active Directory 사용자 및 컴퓨터] 로 이동하여 사용자를 추가 생성한다.

- [새로 만들기] - [사용자] 로 이동하여 생성한다.

 

- 원하는 이름을 입력하면 된다.

 

 

 

6.2) 새 계정 접속

- AD에서는 도메인 사용자 로그인 방식이 있다.

- UPN(User Principal Name)

Microsoft Windows 환경, 특히 Active Directory 내에서 사용되는 사용자 식별 방법이다. 도메인 내에서 사용자를 고유하게 식별하는 방법으로 시스템에 로그인하고 리소스에 액세스하는 데 자주 사용된다. 디지털 공간에 액세스하는 데 도움이 되는 사용자의 특수 이름 태그라고 생각하면 된다. Windows 도메인의 각 사용자는 "john.doe@school.com "과 같은 고유한 ID를 가진다. UPN은 이름 태그와 같이 사용자 친화적으로 설계되었으며 종종 "http@domain"(예: "john.doe@school.com ") 형식으로 제공된다. # 참고 : ChatGPT

 

temp@tiene.vm
tiene\temp

- 둘 중 하나의 방식으로 접속할 수 있다.

---

[Win2016] Window Active Directory 사용자 관리 [조직 구성 단위 / 그룹정책]

[Win2016] Window Active Directory 사용자 관리 [조직 구성 단위 / 그룹정책]

 

[Win2016] Window Active Directory에서 Powershell로 사용자 계정 생성

[Win2016] Window Active Directory에서 Powershell로 사용자 계정 생성

 

[Win2016] Windows AD Group의 관리자 & Domain Controller 로그인 허용

[Win2016] Windows AD Group의 관리자 & Domain Controller 로그인 허용