앞의 포스트에서 Windows 2012 Server 운영체제가 설치된 서버에 Active Direcotry 서비스를 구성하는 과정을 포스팅했다. 이번엔 1대의 PC를 AD의 멤버로 조인(Join)하고 Active Directory에 사용자 계정을 생성한 뒤 이 계정으로 PC에 로그인하는 과정을 포스팅하고자 한다.
Active Directory 사용자 계정 생성하기
앞의 포스트에서도 언급했듯 AD서비스는 Windows PC 기반의 네트워크에서 PC를 사용하는 사용자들의 계정을 통합관리하는 것이 주 기능이다. (PC 환경의 보안 관리는 덤이다.)
AD서비스에서 사용자 계정을 생성하기 위해서는 “Active Directory 사용자 및 컴퓨터”라는 관리도구를 실행해야 한다. 아래 화면처럼 서버 관리자에서 “도구” 메뉴를 통해 실행할 수 있다.
흔히 도메인 사용자 관리라고 부르기도 하는 “Active Directory 사용자 및 컴퓨터”라는 관리도구다.
먼저 왼쪽 트리에서 AD 서비스 구성 시 입력했던 “blogger.pe.kr” 이라는 도메인이 보인다. 사용자 계정을 생성하기 전에 “조직구성단위”라고 부르기도 하는 “Organization Unit : OU”를 먼저 만들어야 한다.
이 조직 구성 단위라 불리는 OU는 말그대로 기업이나 기관의 조직(부서)단위를 의미한다고 보면 된다. 이후에 OU는 조직(부서)에 따라 PC의 보안정책을 달리 적용하고 싶을 때 유용하게 사용할 수 있다. 예를 들면 고객의 개인정보를 취급하는 개인정보취급자와 개인정보를 취급하지 않는 일반 부서 사용자의 PC에 각각 서로 다른 보안정책(Policy)을 배포할 때 유용하게 사용될 수 있다. 일반 사용자 보다 개인정보를 취급하는 사용자에게는 더욱 강력한 보안정책(Policy)을 적용해야 하지 않겠는가?
조직 이름에 일단 “staff”를 입력했다.
Users 하위에 staff 라는 OU가 생성되었다.
staff OU를 선택하면 오른쪽에 아무것도 없는 빈 창이 표시된다. 여기서 마우스 우클릭하고 “새로 만들기” 메뉴에서 “사용자”를 클릭한다.
새 개체 – 사용자 추가 창이 보이는데 아래와 같이 입력했다.
성과 이름은 실제 성과 이름을 입력한다. 전체 이름에는 자동으로 성과, 이름이 조합된 전체 이름이 표시된다. 그리고 “사용자 로그온 이름”에 사용할 ID를 입력한다. 여기서는 성을 제외한 이름만 입력했다. @blogger.pe.kr은 자동으로 도메인 구성 시 입력한 도메인 주소가 표시된다. Windows 2000 이전 버전 사용자 로그온 이름도 자동으로 표시된다.
다음 버튼을 눌러 비밀번호를 입력한다.
“다음 로그온 시 사용자가 반드시 암호를 변경해야 함”을 체크해두면 생성하는 ID로 최초 로그인 시 비밀번호를 변경하도록 해준다. 실 환경에서는 체크한 뒤 초기 비밀번호를 알려주고 초기 비밀번호로 로그인 시 의무적으로 비밀번호를 변경하도록 하는 것이 좋다.
다음 버튼을 눌러 마침 창으로 이동한다.
마침 버튼을 누르면 사용자 계정의 생성이 완료된다.
아래 창처럼 kim taeho 라는 사용자의 taeho라는 ID가 생성된 것이다. 목록에 ID는 보이지 않는다.
사용자 계정을 생성한 뒤 이름에서 마우스 우클릭한 뒤 속성창으로 간 뒤 “소속 그룹”을 보면 Domain Users라는 그룹에 소속된 것을 볼 수 있다.
이 그룹은 OU와는 다른 것이다. OU는 조직(부서라고 생각하면 편함)이고 “소속 그룹”은 Windows 운영체제의 그룹으로서 어느 그룹에 속하느야에 따라 각기 다른 권한을 부여 받게 된다.
사용자 계정의 속성에서 계정 탭으로 이동하면 계정 생성 시 입력한 사용자 로그온 이름을 확인할 수 있다. 그리고 “계정 옵션”에 비밀번호 생성 시 선택한 옵션이 표시되어 있다. 여기서 옵션을 변경할 수 있다.
맨 아래에서는 계정의 만료일을 지정할 수 있다. 만료일을 지정하면 해당일 이후에는 해당 도메인에 Join된 멤버 PC들과 서버에 로그온 할 수 없다.
여기까지 작업하면 하나의 사용자 계정 생성이 완료된다.
PC를 AD에 Member로 Join 시키기
다음은 앞에서 생성한 계정(taeho)으로 로그인할 PC를 AD도메인의 Member로 합류(Join)시켜야 한다.
아래처럼 AD 도메인의 멤버로 합류(Join)시킬 PC의 시스템 정보 화면을 실행시킨뒤 컴퓨터 이름 옆의 “설정 변경”을 선택한다.
시스템 속상 창이 실행되면 하단의 “변경”을 클릭한다. 컴퓨터 이름/도메인 변경 창이 실행되는데 작업그룹이 선택되어 있을텐데 “도메인”으로 변경하고 도메인을 입력한다.
여기서는 앞의 포스트에서 AD 서비스 구성 시 입력한 blogger.pe.kr을 입력했다. 당연히 blogger.pe.kr 도메인에 Join 시켜야 하므로…
그런데 여기서 다음과 같은 에러메시지 창이 나타날 수 있다. 왜냐하면 이 PC는 인터넷이 가능하기 때문에 PC에 설정된 DNS서버(KT DNS)에다가 blogger.pe.kr의 IP 주소를 묻고 KT DNS가 응답한 IP주소에 AD가 있다고 믿고 “나 너네 AD에 멤버로 들어갈께…”라고 … 대화(?)를 시도할 것이다. 하지만 KT DNS는 이 블로그가 있는 IP 주소를 응답할 것이고 당연히 그 IP주소에는 AD 서비스가 없으므로 아래 처럼 에러가 나는 것이다.
따라서 아래 화면처럼 DNS 주소를 앞에서 AD 서비스를 구성했던 서버로 변경해주어야 한다. 앞의 포스트를 보면 AD 서비스를 구성한 Windows 서버는 192.168.219.54 였다. 기본설정 DNS 서버 주소를 아래와 같이 변경한다.
기본 설정 DNS 서버를 변경한 뒤 다시 소속그룹을 도메인으로 변경하고 도메인을 입력하면 “도메인에 가입할 권한이 있는 계정”의 이름 및 암호를 입력하라고 창이 뜬다.
taeho 라는 ID의 사용자 계정을 만들었으므로 그 이름과 비밀번호를 입력한다.
정상적으로 blogger.pe.kr 도메인의 멤버로 가입되었음을 알 수 있다.
PC를 리부팅한다.
리부팅 한 뒤 보이는 창에서 “사용자 전환” 버튼을 클릭한다.
“다른 사용자”를 클릭한다.
blogger.pe.kr의 AD서버에서 생성한 ID와 비밀번호를 입력한다.
정상적으로 AD 사용자 계정으로 PC에 로그인한 것을 볼 수 있다.
이로서 AD에 사용자 계정을 만들고, PC 1대를 Member로 도메인에 가입시키고 PC에서 AD 사용자 계정으로 로그인하는 과정을 봤다.
사실 이것 만으로도 매우 강력한 보안효과를 기할 수 있다. 자세한 것은 다음에 포스팅할 Policy 관련 포스트를 참조하기 바란다. 언제가 될지는 모르지만~~~
— 2020년 12월 17일 추가 —
Windows 2012 Server에 설치된 Active Directory를 Radius 인증서버로 사용하는 방법을 포스팅했다.
보러가기 : Active Directory를 인증서버(Radius)로 사용하기
#ActiveDirectory #AD_Member_join