Active Directory의 그룹 계층
- 다른 유형의 그룹이 포리스트 구조의 다른 수준에서 특정 액세스 및 권한 관리 역할을 수행할 수 있도록 구성된다.
- Domain Local Group
= 주로 특정 도메인 내에서 권한을 할당하고 액세스를 관리하는 데 사용된다.
= 그룹 계층의 최상위 계층이 아니라 자체 도메인 내의 리소스에 대한 액세스 권한을 정의하는 데 사용된다.
= 이러한 그룹은 일반적으로 단일 도메인 내의 리소스 권한 관리에 사용된다.
- Universal Group
= 그룹 계층의 맥락에서 "루트"의 개념과 더 유사하다.
= 전체 포리스트에 대한 액세스를 관리하는 데 사용되며, 이는 포리스트 내의 모든 도메인의 구성원을 포함할 수 있음을 의미한다.
= 교차 도메인 액세스를 용이하게 하는 데 사용되며 도메인 간 권한을 관리할 수 있는 위치에 있다.
- Global Group
= 계층의 중간으로, 동일한 포리스트 내의 여러 도메인에서 유사한 기능을 가진 사용자와 그룹을 조직하는 데 사용된다.
= 여러 도메인에 걸쳐 있는 리소스에 사용 권한을 할당하는 데 사용되는 경우가 많다.
[Windows AD Group 정리]
1) 그룹 생성
1.1) 조직 구성 단위 생성
- 그룹을 생성하기 전, [Active Directory 사용자 및 컴퓨터] 에서 Marketing 이라는 이름의 조직 구성단위를 생성한다.
1.2) Global Group 생성
- 다음과 같이, Global Group을 생성한다.
1.3) Universal Group 생성
- 다음과 같이, Universal Group을 생성한다.
1.3) Domain Local Group 생성
- 다음과 같이, Domain Local Group을 생성한다.
- 사용자 계정 2개까지 생성하면 테스트를 위한 작업은 마무리되었다.
2) 그룹별 특징 확인
2.1) Domain Local Group 확인
- 각, Group 별로 속성에 들어가서, 개체 이름을 추가하는 방식으로 Group 별 상하/계층 관계를 살펴본다.
- Domain Local Group이라는 동등한 위치의 Group을 추가할 수 있다.
- Universal Group이라는 하위 Group을 추가할 수 있다.
- Global Group이라는 하위 Group 및 개체를 추가할 수 있다.
2.2) Universal Group 확인
- Domain Local Group이라는 상위 Group을 추가할 수 없다. 개체를 찾을 수 없다는 메시지가 출력된다.
- Universal Group이라는 동등한 위치의 Group을 추가할 수 있다.
- Global Group이라는 하위 Group 및 개체를 추가할 수 있다.
2.3) Global Group 확인
- Domain Local Group이라는 상위 Group을 추가할 수 없다. 개체를 찾을 수 없다는 메시지가 출력된다.
- Universal Group이라는 상위 Group을 추가할 수 없다. 개체를 찾을 수 없다는 메시지가 출력된다.
- Global Group이라는 동등한 위치의 Group 및 개체를 추가할 수 있다.
'IT > ㄴ Windows' 카테고리의 다른 글
| [Win2016] Windows AD Trust 생성 [Forest Root Domain] (0) | 2023.08.24 |
|---|---|
| [Win2016] Windows AD Group의 관리자 & Domain Controller 로그인 허용 (0) | 2023.08.23 |
| [Win2016] Window AD Domain Controller 강등 및 제거 (0) | 2023.08.22 |
| [Windows] "관리자가 설정한 정책 때문에 오프라인 상태임" 해결하기 (0) | 2023.08.22 |
| [Win2016] "서버의 보안 데이터베이스가 이 워크스테이션 트러스트 관계를 위한 컴퓨터 계정을 가지고 있지 않습니다" 해결하기 (0) | 2023.08.22 |