Chapter 3. 계정

Chapter 3. 계정
1. 사용자 계정
 - Windows Server System에서 인증을 받거나 Local이나 Network의 자원에 접근하는 것을 가능하게 해주는 객체
 - 사용자 계정을 추가하면 SID(Security ID)도 생성되며 관리자는 500번, 사용자는 1000번 이상부터 시작된다.

 - SID 확인 방법

  · Command 창에서 'whoami' 입력
 - 계정의 종류
  · Local 사용자 계정
  ◦ 저장 위치
   ▹ Local Computer
  · Domain 사용자 계정
  ◦ 저장 위치
   ▹ Active Directory Domain Server에 저장
  · 사용자 계정 표현 방법
  ◦ Local 계정
   ▹ USER\administrator : Local 내의 유일한 계정
  ◦ Domain 계정
   ▹ User Log on Name
    ▸  administrator
     ▫  하나의 Domain 내의 유일한 계정
    ▸  thejn\administrator
     ▫  하나의 Domain 내의 유일한 계정
    ▸  thejn.com\administrator
     ▫  하나의 Domain 내의 유일한 계정
   ▹ User Principal Name(UPN) : administrator @ thejn.com
    ▸  Domain Forest 내의 유일한 계정
   ▹ LDAP Distinguished Name(DN) : CN=user,OU=Users,DC=thejn,DC=com
    ▸  전 세계적으로 유일하다.
    ▸  상대 고유 이름과 Container 이름, OU 이름, Domain 이름을 결합하여 사용
   ▹ Relative Distinguished Name(RDN) : CN=user
    ▸  조직 구조 내에서 유일하다.
 - 사용자 계정 암호
  · 사용자 계정은  Domain 내에서 또는 Local 영역 내에서 가지고 있는 권한으로 할 수 있는 일이 많아 누구나 해당 계정을 이용한다면 Network 보안상, System상 문제가 생길 수 있어 암호를 설정 해줘야한다.
  · 암호 정책
  ◦ 계정의 암호가 단순하면 계정을 도용당할 위험성이 많기 때문에 다음과 같은 정책이 주어진다.
  ◦ 암호정책
   ▹ 최근 암호 기억
    ▸  최근 사용한 암호를 기억해 암호를 변경할 때 유사한 암호를 사용하지 못하게 해서 보안성을 높여준다.
   ▹ 최대/최소 암호 사용 기간
    ▸  암호의 기간을 설정해 암호를 지속적으로 바꾸게 함으로써 보안성을 높여준다.
   ▹ 최소 암호길이
    ▸  암호의 길이를 설정해 암호의 경우의 수를 늘려 보안성을 높여준다.
   ▹ 암호의 복잡도
    ▸  기본적으로 Domain 암호는 다음 네 가지 범주의 복잡도 중 세 가지 이상의 복잡도를 만족해야한다.
    ▸  암호의 복잡도
     ▫  영문 대문자(A - Z)
     ▫  영문 소문자(a - z)
     ▫  알파벳 이외의 특수 문자(!, @, # etc.)
     ▫  기본 10개 숫자(0 - 9)
 - 사용자 계정 설정도구
  · Local과 Domain의 사용자 계정을 생성하고 관리할 때 도구를 서로 다른 이용한다.
  · Local Computer 계정
  ◦ 사용자 계정(User Accounts)
  · Domain 계정
  ◦ Active Directory 사용자 및 컴퓨터
  ◦ Command-Line Utility
   ▹ dsadd
   ▹ Windows PowerShell™
   ▹ CSVDE
   ▹ LDIFDE
 - 사용자 계정 생성
  · GUI : Windows

  ◦ Active Directory 사용자 및 컴퓨터에서 원하는 OU를 선택해 Menu Tab에서 ‘새로 만들기’에서 ‘사용자’을 선택한다.

  ◦ 필수 입력사항으로 ‘성’ 또는 ‘이름’에 이름 정보를 입력하고 ‘사용자 로그온 이름’에 Log on 시 사용할 이름을 입력한다.

  ◦ 암호를 암호 정책의 복잡도에 따라 입력하고 계정에 대한 암호 설정을 한다.

  ◦ 입력한 정보를 확인하고 사용자 계정 만들기를 마친다.

  ◦ 만든 사용자 계정을 확인한다.
  · TUI : Command-Line

  ◦ cmd(Command)에서 사용하는 명령어로 사용자를 추가할 때 사용한다.
  ◦ 여러 사용자를 만들 때는 for명령어와 혼용할 수 있다.
  ◦ dsadd
   ▹ 어떠한 Directory 내에 특정 객체를 추가할 때 사용하는 명령어
  ◦ User DN
   ▹ Domain 내의 Container, OU를 지정해줘야 원하는 위치에 만들 수 있기 때문에 DN을 사용해 명령어를 입력한다.
   ▹ 큰따옴표(“)를 사용하는 이유는 공백을 포함하기 위해서 사용하며 명령어를 안정적으로 사용하기 위해 사용한다.
  ◦ Option
   ▹ 사용자를 만들 때 필요한 암호, UPN 등 여러 가지 Option을 지정할 때 사용한다.
  ◦ for + dsadd

   ▹ for : 반복 명령어
   ▹ -l : 변수 증감 Option
   ▹ %i : 변수 이름
   ▹ Range : (첫 번째 숫자, 증감 단위, 마지막 숫자)
   ▹ Do Command : 반복하고자 하는 명령어
 - 사용자 계정 Template
  · 계정의 공통적인 속성들이 미리 설정 되어 있는 계정
  · 어떤 한 계정에 원하는 설정을 해서 그 계정을 바탕으로 계정을 만드는 것
  · 생성 방법

  ◦ Template로 사용할 계정을 선택해 Menu의 복사를 선택

  ◦ 필수 입력사항으로 ‘성’ 또는 ‘이름’에 이름 정보를 입력하고 ‘사용자 로그온 이름’에 Log on 시 사용할 이름을 입력한다.

  ◦ 암호를 암호 정책의 복잡도에 따라 입력하고 계정에 대한 암호 설정을 한다.

  ◦ 입력한 정보를 확인하고 사용자 계정 만들기를 마친다.

  ◦ 만든 사용자 계정을 확인한다.
 - 사용자 계정 속성

  · 계정을 생성한 후 부가적으로 Option을 설정할 때 ‘사용자 계정 속성’에서 설정할 수 있다.

 

2. Computer 계정
 - Domain에서 Computer를 식별하기 위한 Active Directory Domain Server 객체이다.
 - Domain에 가입한 Computer 계정은 Domain 내의 'Computer' Container 내에 자동 생성되며 필요에 따라 원하는 OU로 이동이 가능하다.
 - 각 Computer 속성의 '로그온 대상‘에서 일정 Computer에서만 Log on 할 수 있도록 설정할 수 있으며 설정된 Computer 이외의 Computer에서는 Log on 할 수 없다.
 - Computer 계정 생성
  · GUI : Windows

    ◦  원하는 OU나 Container를 선택한 후 ‘새로 만들기’에서 ‘컴퓨터’를 선택한다.

  ◦ 원하는 이름을 ‘컴퓨터 이름’에 작성 후 확인을 선택하면 Computer가 생성된다.

  ◦ 원하는 OU나 Container를 선택한 후 ‘새로 만들기’에서 ‘컴퓨터’를 선택한다.

  ◦ 원하는 이름을 ‘컴퓨터 이름’에 작성 후 확인을 선택하면 Computer가 생성된다.

  ◦  생성한 Computer를 확인한다.
  · TUI : Command-Line

  ◦ cmd(Command)에서 사용하는 명령어로 Computer를 추가할 때 사용한다.

  ◦ dsadd
   ▹ 어떠한 Directory 내에 특정 객체를 추가할 때 사용하는 명령어
  ◦ Computer DN
   ▹ Domain 내의 Container, OU를 지정해줘야 원하는 위치에 만들 수 있기 때문에 DN을 사용해 명령어를 입력한다.
   ▹ 큰따옴표(“)를 사용하는 이유는 공백을 포함하기 위해서 사용하며 명령어를 안정적으로 사용하기 위해 사용한다.

 

3. 객체 검색
 - 관리자일지라도 모든 객체의 위치를 알 수는 없기 때문에 객체를 검색해 찾아볼 수 있도록 Windows Server는 객체 검색 기능을 지원하고 있다.
 - 검색 방법
  · Sort : Active Directory 사용자 및 컴퓨터에서 조직 단위를 선택한 후 오를 쪽창에 보여지는 객체들을 정렬하여 원하는 객체 찾기
  · Search : Active Directory 사용자 및 컴퓨터에서 ‘찾기’ 이용
  · Queries : cmd에서 dsquery 명령어 이용, Windows에서 ‘저장된 쿼리’ 이용