프로젝트 중에 다른 서버와의 패스워드 연동을 위해

사용자가 컴퓨터에서 패스워드를 변경할 수 없도록 해달라는 요청을 받았습니다.

 

패스워드를 연동하는 서버에서 따로 패스워드 정책을 가지고 있기 때문에

도메인의 패스워드 만료 정책이 제외되었으며 PC에서 Ctrl+Alt+Delete 키를 통해서는

패스워드를 변경할 수 없도록 처리하였습니다.

 

먼저, 변경 전 Ctrl+Alt+Delete 키를 눌러보면 패스워드 변경 화면이 나타나 있는 것을 볼 수 있습니다.

 

그럼, Ctrl+Alt+Delete키를 통해 패스워드를 변경할 수 없도록 하는 그룹정책을 만들어 보겠습니다.

 

먼저, Active Directory 서버에서 gpmc.msc 명령어를 통해 그룹 정책 관리를 실행합니다.

 

 

그룹 정책 관리가 실행되면 그룹 정책 개체를 마우스 우 클릭한 후 새로 만들기(N) 버튼을 클릭합니다.

 

새 GPO 창이 나타나면 이름을 입력한 후 확인 버튼을 클릭합니다.

 

그룹 정책 관리 창에서 새로 생성한 GPO을 선택한 후 '편집' 버튼을 클릭합니다.

 

그룹 정책 관리 편집기 창이 나타나면 '사용자 구성 -> 정책 -> 관리 템플릿 -> 시스템 -> Ctrl+Alt+Del 옵션'에서 '암호 변경 사용 안 함'을 선택합니다.

 

암호 변경 사용 안 함 창이 나타나면 사용을 선택하고 확인 버튼을 클릭합니다.

 

다시 그룹 정책 관리 창으로 돌아와서 정책을 적용할 도메인 또는 OU를 선택한 후 기존 GPO 연결 버튼을 클릭합니다.

 

GPO을 선택한 후 확인 버튼을 클릭합니다.

 

그룹 정책 관리에서 해당 정책을 선택하고 설정 탭을 눌러보면 정책이 생성된 것을 확인할 수 있습니다.

 

이제 그룹정책을 내려받기 위해 클라이언트에서 gpupdate /force 명령어를 실행합니다. 

 

'rsop.msc' 명령어를 실행하여 정책을 확인하여 remove change password 정책이 enable 된 것을 확이할 수 있습니다. 

 

이제 클라이언트에서 Ctrl+Alt+Delete 키를 입력해보면 정책 적용 전과는 다르게 Change Password.. 버튼(?)이 사라진 것을 확인할 수 있습니다.

 

[관련 사이트 : http://support.microsoft.com/kb/324744]

 

서버를 설치하고 나면 재부팅 또는 로그인 할 때마다

굳이 서버 관리자를 실행할 필요가 없는대도 자동으로 서버 관리자가 실행되는 것이 여간 불편하지 않았습니다.

 

물론 '로그온 시 서버 관리자를 자동으로 시작 안 함'을 체크해주면 되지만..

서버마다 이걸 체크해주는 것도 게으른 저에게는...^-^;;

 

그래서 정책으로 서버 관리자가 자동으로 실행되지 않도록 변경하는 방법입니다.

 

먼저. DC(도메인컨트롤러)에서 그룹 정책 관리를 실행합니다. (시작 -> 실행 - > gpmc.msc)

 

 

그룹 정책 관리가 실행되면, 그룹 정책 개체 탭으로 이동하여 마우스 오른쪽 버튼을 클릭하여 새로 만들기를 선택합니다.

 

새 GPO 창이 나타나면 생성할 GPO의 이름을 입력하고 확인 버튼을 클릭합니다.

(GPO 이름은 어떠한 정책인지 정책이 컴퓨터에 적용되는 것인지 사용자에게 적용되는 것인지 이름만으로 구별될 수 있도록 적어주는 것이 좋습니다. 물론 GPO 이름은 변경이 가능하고, 어떤 정책인지는 정책을 선택 후 '설정' 탭으로 이동하면 자세히 볼 수 있지만..)

 

그룹 정책 개체가 생성되면 해당 개체를 선택 후 마우스 오른쪽 버튼을 클릭하여 '편집'을 선택합니다.

 

 그룹 정책 관리 편집기 창이 실행되면 컴퓨터 구성 -> 정책 -> 관리 템플릿 -> 시스템 -> 서버 관리자 탭으로 이동한 후 '로그온 시 서버 관리자를 자동으로 표시 안 함'을 선택합니다.

 

로그온 시 서버 관리자를 자동으로 표시 안 함 창이 나타나면 '사용'을 선택하고 필요한 경우 설명을 입력한 후 확인 버튼을 클릭하여 창을 닫습니다.

 

정책을 편집한 후에는 그룹 정책 관리 편집기 창을 닫고 그룹 정책 관리 탭으로 이동하여 해당 정책의 설정 탭으로 이동하면, 정책이 편집된 것을 확인할 수 있습니다. 

 

정책이 생성되었으면 이 정책을 도메인 또는 OU에 연결해야 합니다.

(정책은 보통 도메인 보다는 필요한 OU에 연결하는 것이 좋다고 판단됩니다. 생성한 정책도 서버에만 해당되는 정책이기 때문에 도메인이 아닌 서버가 포함될 그룹에만 설정..)

 

정책을 적용할 OU를 선택하고 마우스 오른쪽 버튼을 클릭하여 기존 GPO에 연결을 선택합니다.

 

GPO 선택 창이 나타나면, 그룹 정책 개체를 선택하고 확인 버튼을 클릭합니다.

 

아래와 같이 정책이 적용된 것을 확인할 수 있습니다.

 

정책이 적용된 후 확인해보면 서버 관리자 속성에 '로그온 시 서버 관리자를 자동으로 시작 안 함' 체크되어 있고, 변경할 수 없는 것을 확인할 수 있습니다. 

 

rsop.msc 명령어를 통해 정책 결과 집합을 실행해보면 마찬가지로 정책이 '사용'으로 되어 있으며, 변경할 수 없는 것을 볼 수 있습니다.

 

 

 

 

 

 

이번에는 앞에서 설치한 도메인 컨트롤러에 추가 도메인 컨트롤러를 구성하는 절차입니다.

기본적으로 IP 세팅과 컴퓨터 네임을 변경하는 절차와 역할을 추가하는 절차는 첫번째 도메인 컨트롤러를 구성하는 부분과 동일하기 때문에 생략하고 구성하는 부분만 포스팅 합니다.

 

먼저, Active Directory 도메인 서비스 구성 마법사를 실행한 후 '기존 도메인 컨트롤러를 추가합니다'를 선택합니다.

 

이후 도메인명과 자격증명을 지정한 후 '다음' 버튼을 클릭합니다.

 

 

도메인 컨트롤러 옵션 창에서는 DSRM(디렉터리 서비스 복원 모드)의 암호를 입력한 후 다음 버튼을 클릭합니다.

 

DNS 옵션 창에서 다음 버튼을 클릭합니다.

 

추가 옵션 창에서 복제할 서버를 지정하거나 모든 컨트롤러에서 복제를 선택한 후 '다음' 버튼을 클릭합니다.

 

 

경로 창에서는 AD DS 데이터베이스, 로그 파일, SYSVOL의 위치를 지정한 후 다음 버튼을 클릭합니다.

 

 

경로 옵션 창에서 설정한 값을 확인한 후 '다음' 버튼을 클릭합니다.

 

필수 구성 요소 확인 창에서 '설치' 버튼을 클릭하여 도메인 컨트롤러 구성을 완료한 후 서버를 재부팅 합니다.

 

위의 작업들은 파워쉘을 통해서도 작업이 가능합니다.

 

$domainname = "Donkey.local"
$PATH = "C:\AD"
$safepassword="패스워드"
Import-Module ADDSDeployment
Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -CriticalReplicationOnly:$false -DatabasePath "$PATH\NTDS" -DomainName "$domainname" -InstallDns:$true -LogPath "$PATH\NTDS" -NoRebootOnCompletion:$false -SiteName "Default-First-Site-Name" -SysvolPath "$PATH\SYSVOL" -Force:$true -safemodeadministratorpassword (convertto-securestring "$safepassword" -asplaintext -force) -Credential (Get-Credential)

 

 

 

 

 

 

 

 

+ Recent posts