Active Directory (6) 썸네일형 리스트형 [MS AD] AD Server 읽기 전용 사용자 생성하기 감사 등과 같은 이유로 AD Server 읽기 전용 사용자를 필요로 합니다. 이번 포스팅은 AD Server 읽기 전용 사용자 생성하기를 다룹니다. 들어가기 전에 본 포스팅에서는 RSAT(원격 서버 관리 도구)방식과 원격 접속 방식을 다룹니다. RSAT(원격 서버 관리 도구)를 이용한 방식과 원격 접속 방식의 차이점을 알아보겠습니다. RSAT 원격 접속 클라이언트 PC에서 도구를 이용하여 AD서버에 접근 클라이언트 PC에서 AD서버에 원격 접속 제한된 보기 모든 보기 제어 위임 방식 GPO 이용 방식 RSAT(원격 서버 관리 도구)를 이용한 AD서버 읽기 전용 사용자 생성하기 Step.01 - 클라이언트 PC에 RSAT 관리 도구 기능 추가 클라이언트 PC의 설정 > 앱을 클릭하여 앱 및 기능으로 들어옵.. [MS AD] AD에서 비활성화된 컴퓨터 개체 (Disabled Computer Object) 찾기 (+OU이동, 삭제) AD에 등록된 컴퓨터 개체는 다양한 이유로 비활성화 될 수 있습니다. 대표적인 이유로는 클라이언트 컴퓨터와 도메인컨트롤러와의 통신이 끊겨 네트워크 타임에 문제가 생기는 경우, 패스워드 리셋 권한의 상실 등이 있습니다. 이번 포스팅에서는 이러한 이유로 비활성화된 컴퓨터 개체를 찾고, 특정 OU로 이동, 삭제하는 방법을 다뤄보겠습니다. *정보 보호를 위해 특정 정보는 가려져 있습니다. [비활성화된 컴퓨터 개체] Active Directory 사용자 및 컴퓨터로 진입하여 아래와같이 비활성화된 컴퓨터 개체를 확인할 수 있습니다. 하지만 기업의 AD 환경에서는 수만대의 컴퓨터가 AD에 등록이 되어 있고 컴퓨터들은 각각의 OU에 분포되어 있어 이를 수동으로 찾는 것은 많은 시간과 노력이 필요합니다. 이를 해결하기 .. [MS AD] UPN 접미사 추가하기 UPN 접미사를 추가하는 이유 Active Directory 도메인 및 트러스트를 사용하여 기존 사용자 계정에 대한 UPN(사용자 계정 이름) 접미사를 추가할 수 있습니다. 사용자 계정의 기본 UPN 접미사는 해당 사용자 계정을 포함하는 도메인의 DNS(Domain Name System) 도메인 이름입니다. 대체 UPN 접미사를 추가하면 모든 사용자에 대해 단일 UPN 접미사를 제공함으로써 관리 및 사용자 로그온 프로세스를 간소화할 수 있습니다. UPN 접미사는 Active Directory 포리스트 내에서만 사용되며 유효한 DNS 도메인 이름일 필요가 없습니다. 뭔말이야...ㅠㅠ 설명이 조금 어렵습니다. 간략하게 풀어볼까요? 기업 또는 개인이 설정한 FQDN(Fully Qualified Domain N.. [MS AD] AD에서 특정 기간 이상 접속하지 않은 컴퓨터 개체 찾기(+비활성화, OU이동, 삭제) AD에 등록된 컴퓨터 개체의 특성에는 lastLogonTimestamp라는 것이 있습니다. 이는 해당 컴퓨터가 마지막으로 도메인 환경의 Windows에 로그온 한 시점을 기록합니다. 이번 포스팅에서는 이 lastLogonTimestamp 특성의 값을 이용하여 특정 기간(ex.30일)동안 도메인 환경으로 Windows를 로그온하지 않은 컴퓨터 개체를 찾고 해당 개체를 비활성화, 특정 OU로 이동, 삭제하는 방법을 다뤄보겠습니다. *정보 보호를 위해 특정 정보는 가려져 있습니다. [수동으로 lastLogonTimestamp 값 확인하기] Active Directory 사용자 및 컴퓨터로 진입하여 개체의 특성을 확인하는 방법입니다. 위 그림처럼 SN19SA165 컴퓨터 개체의 lastLogonTimestamp.. [MS AD] 로그온 스크립트 GPO 배포하기 **스크립트가 작성되어 있다는 가정 하에 참고하실 수 있는 포스팅입니다. **정보 보호를 위해 일부 정보가 가려져 있습니다. 요구사항: 사용자가 로그온 할때마다 특정 스크립트가 작동하여 정보를 수집할 수 있도록 설정해주세요. 방법: GPO를 이용한 파일(스크립트) 배포 + 작업 스케줄러 등록 들어가기 전에 컴퓨터 부팅 스크립트와 로그온 스크립트의 차이점을 알아둘 필요가 있습니다. 아주아주 간략하게 설명드리자면 아래와 같습니다. 부팅 스크립트 로그온 스크립트 사용자의 정보를 요구하지 않습니다. 사용자의 정보를 요구합니다. Windows 로그온 이전에 스크립트가 작동됩니다. Windows 로그온 시점에 스크립트가 작동됩니다. GPO작성 시 컴퓨터 구성으로 작성해야 합니다. GPO작성 시 사용자 구성으로 작성.. [MS AD] Domain Controller간의 동기화 시간을 실시간으로 변경하기 이슈: A Site에 속해있는 PC에서 특정 사용자의 비밀번호를 변경하면 B Site에 속해있는 PC에 즉각적으로 반영되지 않습니다. 원인: Inter-Site 간 복제 주기 해결법: DC간 복제 주기를 실시간(Change가 발생할 경우 복제 진행)으로 변경 현황: 4개의 Site, 8개의 DC(Domain Controller) [해결법] Step.01 DC Server의 실행창(윈도우키+R)에서 ADSIEdit.msc를 입력하여 ADSI 편집기로 진입합니다. Step.02 아래 이미지처럼 '구성'이 표시되지 않는다면 '연결 설정'으로 '구성' 표시할 수 있습니다. 'ADSI 편집' 선택 > '동작' > '연결 설정' > 잘 알려진 명명 컨텍스트를 선택합니다. 드랍박스에서 '구성' 선택 > '확인' St.. 이전 1 다음
