[Win2016] Windows AD 제어위임 기능 사용하기

Windows AD 제어위임 기능 사용하기

 

- 조직구성단위(Organizational Unit) 는 각종 자원들(사용자 계정, 이메일, 리소스, 컴퓨터) 등을 관리할 수 있는 컨테이너 박스이자 그룹정책을 적용할 수 있는 최소 단위다. 이러한 단위를 관리하는 최상위 계정은 Administrator가 있다. 최상위 계정이라고 모든 것을 관리 / 감독할 수 없다. 마치, 대기업의 회장님이 영업 3팀의 장그래 사원을 관리할 수 없고 그 부서의 장인 오상식 차장이 그 조직을 관리하는 것이 효율적이다. 이처럼 조직 구성 단위를 제어할 수 있는 기능인 '제어위임' 기능을 살펴보고 조직구성단위에 포함된 자원들을 관리해보자

---

1. 기본 설정

1.1) 조직구성단위 생성 및 사용자 생성

- Marketing 이라는 조직구성단위를 생성하고 그 안에 사용자를 생성한다. tiene는 부장급 권한을 지정하고 mark1은 과장급 권한을 지정한다. 여기서 부여하는 권한이 꼭 부장이라고 설정하는 권한을 부여해야하는 것은 아니고, 단지 높은 직급인 만큼 더 많은 권한을 부여한다는 의미로 받아들이면 된다. 

- 제어위임은 두 가지로 분류할 수 있다.

일반작업 제어위임 : 제한적으로 권한 위임
사용자 정의 제어 위임 : 공통적인 제어위임 보다 더 많은 제어위임을 줄 수 있음.

- 위의 분류법으로 보면 tiene는 사용자 정의 제어 위임을 받은 사용자고 mark1은 일반작업 제어위임을 받은 사용자다.

 

2. 제어 위임 설정

2.1) 일반작업 제어위임 지정

- 조직구성단위를 우클릭하여 [제어위임] 으로 진입하여 [제어 위임 마법사]를 실행한다.

 

 

- mark1를 사용자 추가한 뒤, [다음 일반 작업을 위임]를 체크하고 [사용자 계정 체크]와 [그룹 관련 체크] 한다. [다음]을 눌러 [제어 위임 마법사] 작업을 마무리한다. 

 

 

 

 

2.2) 사용자정의 제어위임 지정

- - 조직구성단위를 우클릭하여 [제어위임] 으로 진입하여 [제어 위임 마법사]를 실행한 뒤, 사용자 tiene를 추가한다. 그 다음, [위임할 사용자 지정 작업 만들기] 선택한다.

 

- [폴더에 있는 다음 개체만]을 체크한다. 이때, 제어하길 원하는 개체를 지정한다. [연락처,그룹, 사용자, 조직 구성 단위, 컴퓨터 개체] 를 지정한다. 그리고 선택한 권한에 대한 생성과 삭제 권한을 부여하기 위해 [이 폴더에서 선택한 개체 만들기], [이 폴더에서 선택한 개체 삭제] 를 체크한다. 다음은 권한에 대한 설정을 진행한다. 모든 권한에 대한 제어 위임을 위해 [모든 권한]을 선택하고 넘어간다.

 

- [마침]을 눌러서 [제어 위임 마법사]를 완료하고, tiene는 Marketing이라는 조직구성단위의 관리자로 지정한다.

 

 

3. 제어 위임 확인

3.1) 원격 관리 도구 설정

- tiene나 mark1을 사용하는 일반 사용자 계정은 Domain Controller의 [Active Directory 사용자 및 컴퓨터] 기능을 사용할 수 없다. Domain Controller로 접속할 수 없기 때문에 일반 컴퓨터 개체에 원격 서버 관리 도구를 설치하여 기능을 추가한다. SVR1이라는 일반 컴퓨터 개체에서 [역할 및 기능 추가 마법사] 로 이동하여 [기능] 옵션에서 [원격 서버 관리 도구]를 확장하고 [역할 관리 도구] 에서 [AD DS 및 AD LDS 도구] 및 기타 항목이 체크되어 있는지 확인한다.

일반사용자가 Domain Controller로의 접근을 위해서 원격 관리 도구의  AD DS  설치

 

3.2) tiene & mark1 접속

- 설치가 완료되면, 각각의 계정으로 접속해서 확인한다. [새로 만들기]에서는 지정한 권한에 대해서만 생성하고 삭제할 수 있다. 이처럼 부서별 권한 사용자가 관리자 대행, 권한 분산 기능 효과를 볼 수 있다.

왼쪽 : tiene 오른쪽 : mark1

---