Chapter 4. Group

Chapter 4. Group
1. Group
 - 비슷한 객체의 논리적 집합
 - 각각의 Group에 관리자를 지정해 관리할 수 있는 사용자를 지정할 수 있다.
 - 사용자 하나하나에 권한을 부여하면 번거롭고 복잡할 수 있기 때문에 Group에 소속시킨 후 해당 Group에 권한을 부여하는 방법으로 보다 간단하게 사용자에게 권한을 부여할 수 있다.
 - Group의 분류
  · 범위별
  ◦ 범위별로 나눌 수 있는 Group 종류이다.
  ◦ 크기순으로는 Domain > Universal > Global로 정해져 있으며 범위를 바꿀때 Domain에서 Global로 바로 변경은 불가능하며 한 단계씩 변경해야한다.
  ◦ 크기가 큰 순서대로 포함관계를 만들 수 있으며 작은 Group이 큰 Group을 포함하는 것(ex. Universal ⊂ Domain)은 불가능 하다.
  ◦ 같은 크기의 Group끼리는 서로 포함할 수 있다.
  ◦ 종류
   ▹ Local Groups
    ▸  구성원
     ▫  Local 사용자
     ▫  Domain 사용자
     ▫  Domain Group
    ▸  권한
     ▫  Local Computer에서만 권한을 부여받을 수 있으며 ‘Active Directory 사용자 및 컴퓨터’에서 설정하는 것이 아니다.
    ※ Local Group은 Domain Controllers에 생성될 수 없다.
   ▹ Global Groups
    ▸  구성원
     ▫  동일한 Domain의 사용자 계정과 Computer 계정
     ▫  동일한 Domain의 Global Group
    ▸  소속될 수 있는 Group
     ▫  동일한 Domain의 Global Group
     ▫  Forest의 모든 Domain의 Universal Group과 Domain Locaol Group
    ▸  변경 될 수 있는 Group
     ▫  Universal Group
   ▹ Universal Groups
    ▸  구성원
     ▫  Forest의 모든 Domain의 Global Group
     ▫  Forest의 모든 Domain의 사용자 계정과 Computer 계정
     ▫  Forest의 모든 Domain의 Universel Group
    ▸  소속될 수 있는 Group
     ▫  Forest의 모든 Domain의 Universal Group
     ▫  Forest의 모든 Domain의 Domain Local Group
    ▸  변경 될 수 있는 Group
     ▫  Domain Local Group
     ▫  Global Group
   ▹ Domain Local Groups
    ▸  구성원
     ▫  Forest의 모든 Domain의 사용자 계정과 Computer 계정
     ▫  Forest의 모든 Domain과 신뢰 Domain의 Global Group
     ▫  Forest의 모든 Domain과 신뢰 Domain의 Universal Group
     ▫  도일한 Domain의 Domain Local Group
    ▸  소속될 수 있는 Group
     ▫  동일한 Domain의 Domain Local Group
    ▸  변경 될 수 있는 Group
     ▫  Universal Group
  · 종류별
  ◦ Security Group
   ▹ 접근 권한(Permissions)과 사용자 권한(Right) 부여가 가능하다.
   ▹ Exchange Server를 사용하면 E-mail용으로도 사용 가능하다.
  ◦ Distribution Groups
   ▹ 권한 부여용으로는 사용할 수 없으며 E-mail 배포용으로는 사용가능하다.
 - Group 중첩(Nesting)
  · 어떤 Group이 또 다른 Group의 구성원이 될 수 있게 해주는 기능
  · 장점
  ◦ 중첩 기능을 이용해 계정들을 Group 단위로 다른 Group에 소속 시키면 복제해야할 사용자 정보의 크기를 줄여준다.
  ◦ 중첩된 Group으로 인해 관리 업무가 간소화 된다.

 

2. Group 관리
 - Group 명명법
  · Group 명은 그 Group의 목적을 명확히 표현할 수 있고 하위 기능들을 모두 포함할 수 있도록 표현해야한다.
  · 명명법
  ◦ 간결한 이름 사용
  ◦ 부서별 이름 사용
  ◦ 지역별 이름사용
    ◦  Project 이름 사용
 - Group 생성
  · GUI : Windows

  ◦ Active Directory 사용자 및 컴퓨터에서 원하는 OU를 선택해 Menu Tab에서 ‘새로 만들기’에서 ‘그룹’을 선택한다.

  ◦ 그룹이름을 입력하고 그룹 범위, 그룹 종류를 선택한다.

  ◦ 생성한 Group을 확인한다.
 · TUI : Command-Line

  ◦ cmd(Command)에서 사용하는 명령어로 Group를 추가할 때 사용한다.
  ◦ 여러 Group를 만들 때는 for명령어와 혼용할 수 있다.
  ◦ dsadd
   ▹ 어떠한 Directory 내에 특정 객체를 추가할 때 사용하는 명령어
  ◦ Group DN
   ▹ Domain 내의 Container, OU를 지정해줘야 원하는 위치에 만들 수 있기 때문에 DN을 사용해 명령어를 입력한다.
   ▹ 큰따옴표(“)를 사용하는 이유는 공백을 포함하기 위해서 사용하며 명령어를 안정적으로 사용하기 위해 사용한다.
  ◦ Option
   ▹ Group를 만들 때 필요한 설명 등 여러 가지 Option을 지정할 때 사용한다.

 

3. OU와 Group 비교
 - OU와 Group 비교

구분	OUs	Groups
Group 정책 설정	Group 정책 설정 적용 가능	Group 정책 설정 적용 불가능
소속	한 사용자는 하나의 OU에만 소속가능	한 사용자가 동시에 여러 Group에 소속 가능
권한 부여	자원에 대한 접근 권한 부여 또는 거부 불가능	자원에 대한 접근 권한 부여 또는 거부 가능
배포	E-mail 배포용으로 사용 가능	E-mail 배포용으로 사용 불가능