본문 바로가기
공부/서버운영관리

ICT보안실무_그룹정책관리

by kyoung-ho 2020. 11. 3.
반응형

** <EX> Group 별 접근 권한(Permission) 구성 **

 

1. 본사 DC(2008_A)에 다음과 같은 그룹을 생성.

-> ‘본사 강사 글로벌 그룹(Global)’

-> ‘강사 도메인 로컬 그룹(Domain Local)’

 

2. ‘본사 강사 글로벌 그룹(Global)’에 본사 강사 Account를 등록.

    ( Global 그룹은 해당 Domain의 개체만 추가할 수 있다!)

 

3. 부산 DC(2008_C)에 ‘부산 강사 글로벌 그룹’을 생성하고

    부산 강사 Account를 동작.

 

4. 본사 DC의 ‘강사 도메인 로컬 그룹’에 ‘본사 강사 글로벌 그룹’

    과 ‘부산 강사 글로벌 그룹’을 포함시킨다.

    (Domain Local 그룹의 경우 다른 Domain의 개체 및 Group을

     추가할 수 있다!)

 

5. 본사/지사 DC에 다음과 같이 공유 폴더를 생성하고, Group별

    permission(접근 권한)dmf qndugksek.

  • 본사 : 본사 강사 공유 폴더(본사 강사 글로벌 그룹 -> 모든 권한)

          전체 강사 공유 폴더(강사 도메인 로컬 그룹 -> 모든 권한)

  • 지사 : 부산 강사 공유 폴더(부산 강사 글로벌 그룹 -> 모든 권한)




AGP그룹전략->

 

AGDLP그룹전략->

-> 공유 폴더에 Group 별로 모든 권한을 부여했지만 다른 사용자의 파일은

     수정이나 삭제가 불가능하다. 이유는??

      

     위에서 설정한 것은 ‘ 공유 권한’이다. ‘ 공유 권한’ 뿐 아니라 ‘NTFS 권한’

     역시 수정과 삭제가 가능하도록 설정해야 수정/삭제 작업이 가능하다!

 

-> 모든 폴더에는 ‘NTFS ACL’ 과 ‘공유 ACL’이 별도로 존재한다.

     NTFS ACL은 상위 폴더의 내용을 자동으로 상속받는다.

     관리자가 필요에 따라서 상속을 거부하는 것도 가능하다.

 

->NTFS권한



->SID확인

==================================================================

** Group policy(그룹 정책) **

 

- Group policy을 사용하여 관리자는 AD에 포함되어 있는 사용자와

  컴퓨터에게 특정 작업을 제한하거나, 소프트웨어 설치, 보안설정,

  스크럽트 작업 등이 가능하다.

 

- Group policy이 적용될 수 있는 가장 작은 단위는 GU이다.

[1. 컴퓨터 구성]

=> 로그온 사용자 계정과 관계 없이 해당 컴퓨터를 사용하는

     경우 적용되는 정책이다.

=> 정책이 적용되는 시점은 다음과 같다.

  1. 컴퓨터가 재부팅되는 경우

  2. CMD 창이 [gpupdate /force] 명령어 입력

  3. 90 - 120분 주기로 정책을 Update 받는 경우

 

[2. 사용자 구성]

=> 사용하는 컴퓨터와 관계 없이 로그온 사용자의 계정에 따라

     적용되는 정책이다.

=> 정책이 적용되는 시점은 다음과 같다.

  1. 해당 사용자가 계정으로 로그온하는 경우

  2. CMD 창이 [gpupdate /force] 명령어 입력

  3. 90 - 120분 주기로 정책을 Update 받는 경우



=> 그룹 정책의 종류는 다음과 같다.

  1. 로컬 GPO(Group Policy Object)

  2. 사이트 GPO - 거의 안쓴다!!

  3. 도메인 GPO - 우리가 이해해야될 것!

  4. 조직 구성 단위 (OU) GPO - 우리가 이해해야될 것!

 

-> 계정을 만들시 저런 오류가 뜨는 이유는?? 그룹 정책개체에 

     default Policy 설정 내용 때문에 그렇다.

 

-> 그룹 정책 관리-> default policy-> 편집을 클릭해

     그룹 정책 관리 편집기가 실행 된다. 여기서 보안 설정으로 들어가

     계정 정책에서 암호 정책 설정을 할수 있다. 변경 후 적용되게 할려면

     아래와 같은 방법으로 적용 시킨다.

  • 컴퓨터가 재부팅되는 경우

  • CMD 창이 [gpupdate /force] 명령어 입력

  • 90 - 120분 주기로 정책을 Update 받는 경우





==================================================================

** 관리자설정 그룹정책 만들기 **

 

제어판 사용 금지 정책 설정!!!

 

 



 

사용자 구성에서 

다음 로그온시 프로그램 실행 ->

"C:\Program Files\Internet Explorer\iexplore.exe" mgr.kgitbank.com

 

반응형

'공부 > 서버운영관리' 카테고리의 다른 글

[oracle] 초기 설정 및 설치  (0) 2022.07.06
Synology NAS 설정.  (0) 2022.05.11
ICT보안실무_자식도메인  (0) 2020.11.03
ICT보안실무_FTP  (0) 2020.11.01
ICT보안실무_PPP인증방식  (0) 2020.11.01

관련글

댓글

티스토리툴바