immersion

도메인 관리자 패스워드를 잊어버려서..

몇일동안 서버를 켜지않고 있다가 어제서야 복구했습니다.

자주 사용하는 암호를 아무리 입력해봐도 나오는 메시지는 동일합니다.

'암호가 올바르지 않습니다....'

결국 암호를 복구하기로 결정.... 

먼저, Windows Server 2012 R2 DVD를 삽입하고 DVD로 부팅합니다.

(당연히 Bios 상에서 DVD 부팅이 체크되어 있어야겠죠..)

DVD로 부팅한 후에는 하단의 '컴퓨터 복구(R)' 버튼을 클릭합니다.

 옵션 선택 창이 나타나면 '문제 해결' 버튼을 클릭합니다.

고급 옵션 창에서 ;명령 프롬포트' 버튼을 클릭합니다.

명령 프롬포트 창이 나타나면 하기와 같이 Utilman.exe 파일을 백업한 후 CMD 파일을 Utilman.exe 파일로 대체합니다.

예)

1. Windows\system32 폴더로 이동

2. Copy Utilman.exe utilman.exe.bak -> 차후 복원을 위해 해당 파일 백업

3. Move cmd.exe utilman.exe (덮어쓸 것이냐는 물음에 Y 선택)

4. 재부팅

위의 작업을 완료한 후 정상 부팅하여 Utilman.exe을 실행하면 커맨드창이 실행되는 것을 볼 수 있습니다.

cmd 창에서 하기와 같은 명령어로 administrator의 패스워드를 변경합니다.

net user administrator "새로운 패스워드"

이후 정상 로그인하여 사용할 수 있습니다. ^-^

SQL Server Management Studio 를 통해 Active Directory 개체를 Query 하기 위해서는 Management Studio에 ADSI를 연결해야 합니다.

1. SQL Server Management Studio를 실행한 뒤 서버 개체의 연결된 서버를 선택하고 마우스 우 클릭하여 ‘새 연결된 서버’ 를 선택합니다.

2. 새 연결된 서버’ 창이 나타나면 ‘일반’ 탭에 다음과 같이 입력합니다.

4. 설정이 완료되면 ADSI를 선택하고 마우스 우 클릭하여 ‘연결 테스트’ 버튼을 클릭하여 연결이 정상적인지 확인한다.

연결 테스트가 성공하면 SQL Management Studio를 통해 Active Directory에 대한 Query가 가능하다.

아래 예는 컴퓨터의 마지막 로그온 시간을 가져오는 쿼리이다.

<데이터 입력>

시스템 로그 등을 확인해야 하는 경우가 있는데 사용자가 시스템 복원을 사용해버렸다면?

방법이 없지는 않겠지만 그것보다 시스템 복원을 사용할 수 없도록 설정해두는 것이 맞겠죠?

그룹 정책을 통해 시스템 복원을 사용할 수 없도록 설정하는 방법입니다.

먼저, 그룹 정책 관리 편집기를 실행한 후 '컴퓨터 구성 - 정책 - 관리 템플릿 - 시스템 - 시스템 복원'으로 이동한 후 '시스템 복원 사용 안 함' 정책을 선택합니다. 

시스템 복원 사용 안 함 창에서 '사용(E)'을 선택하고 확인 버튼을 클릭합니다.

정책이 적용되면 시스템 복원 기능이 비활성화되고 변경할 수 없는 것을 확인할 수 있습니다.

[변경 전] 

[변경 후] 

자주 사용하는 GPO에 대해 적다보니 점점 재미있어집니다.

GPO는 바로바로 반영되서 확인이 가능하니...;;

이번에는 원격데스크탑 설정을 변경해보겠습니다.

데스크탑을 설치하고 매번 원격데스크탑 설정을 변경하는 것은 귀찮은 일이죠..^^;;

먼저, 그룹 정책 관리 편집기에서 '컴퓨터 구성 - 정책 - 관리 템플릿 - Windows 구성 요소 - 터미널 서비스 - 원격 데스크톱 세션 호스트 - 연결'를 찾아갑니다.

Allow users to connect remotely by using Remot Desktop Service(원격 데스크톱 서비스를 사용한 원격 연결 허용)을 선택한 후 '사용'으로 변경합니다.

다음으로 연결 개수 제한을 '사용'으로 변경한 후 TS 최대 허용 연결 수를 변경해줍니디다.

(단, 클라이언트는 어차피 세션이 한개...^^ㅋ)

다음으로, 원격 데스크톱 서비스 사용자를 하나의 원격 데스크톱 서비스 세션으로 제한 정책을 '사용 안 함'으로 변경합니다.

(위와 마찬가지로 클라이언트 PC는 의미가 없습니다) 

원격데스크탑 연결 설정과 관련한 보안 설정을 변경하기 위해 '컴퓨터 구성 - 정책 - 관리 템플릿 - Windows 구성 요소 - 터미널 서비스 - 원격 데스크톱 세션 호스트 - 보안'으로 이동합니다.

네트워크 수준 인증을 사용하여 원격 연결에 대한 사용자 인증 필요 정책을 '사용 안 함'으로 변경합니다.

위에서 설정한 정책들을 적용하면 원격데스크톱 설정이 변경되며, 사용자가 변경할 수 없는 것을 확인할 수 있습니다.

[변경 전]

[변경 후] 

위와 같이 설정은 변경되었는데도 원격 연결이 되지 않아 확인해보니 방화벽의 문제더군요.

그래서 그룹 정책을 통해 원격연결에 대한 정책을 허용하였습니다.

그룹 정책 관리 편집기를 실행한 후 '컴퓨터 구성 - 정책 - 관리 템플릿 - 네트워크 - Windows 방화벽 - 도메인 프로필'로 이동하여 'Windows 방화벽: 인바운드 원격 데스크톱 예외 허용'을 선택합니다.

 Windows 방화벽: 인바운드 원격 데스크톱 예외 허용 창에서 사용으로 변경한 후 IP 주소를 입력한 후 확인을 입력합니다.

(모두 허용하려면 *을 서브넷으로 허용하려려면 'X.X.X.X/24'와 같이 입력합니다)

화면보호기를 사용하도록 하는 정책입니다.

화면보호기를 사용하지 않을 경우에는 컴퓨터가 켜져 있는채로 자리를 이동한 경우

다른 사용자에 의하여 정보유출이 있을 수도 있습니다.

따라서, 일정시간이 지나면 컴퓨터가 잠기도록 설정하는 것이 좋습니다.

먼저, 그룹 정책 관리 편집기를 실행한 후 '사용자 구성 - 정책 - 관리 템플릿 - 제어판 - 개인 설정'으로 이동합니다.

화면 보호기 사용을 '사용'으로 변경합니다.

'화면 보호기 시간 제한'을 '사용'으로 변경한 후 시간을 지정합니다.

화면 보호기 암호로 보호를 '사용'으로 변경합니다. 

정책이 적용되면 화면 보호기 설정이 변경된 것을 볼 수 있습니다.

[변경 전]

[변경 후]

클라이언트 관리를 위하여 GPO를 만들어 관리하는데,

사용자가 임의로 도메인에서 탈퇴를 해버리거나, 컴퓨터명을 임의로 바꾸어 버리면 문제가 되겠져.

이럴 경우 도메인 탈퇴 및 컴퓨터 이름을 변경할 수 없도록 제한하는 정책입니다.

(주 용도는 도메인 탈퇴 제한이지만...)

먼저, 그룹 정책 편지기를 실행한 후 '컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 파일 시스템'으로 이동한 후 '파일 시스템'을 우 클릭하여 '파일 추가' 버튼을 클릭합니다. 

'파일 또는 폴더를 추가합니다.' 창에서 '%systemroot%\system32\netid.dll'을 입력하고 확인 버튼을 클릭합니다.

데이터 베이스 보안 대상 창이 나타나면 권한을 제거한 사용자를 제거한 후 권한이 필요한 사용자를 추가합니다.

(예로 Administrators 제거하고 Domain Admins을 추가하면, 로컬 관리자는 도메인 탈퇴 등의 작업을 할 수 없지만, 도메인 관리자는 도메인 탈퇴 등의 작업이 가능합니다)

개체 추가 창이 나타나면 '상속 가능한 사용 권한을 모든 하위 폴더 및 파일에 전파(P)'를 선택하고 확인 버튼을 클릭합니다.

정책이 적용되면 권한이 없는 사용자는 Computer Name 탭이 나타나지 않습니다.

[권한 없는 사용자] 

[권한있는 사용자]

프로젝트 때 자주 사용하는 GPO을 정리하려다 보니 계속 GPO에 대해서만 정리하고 있습니다.

이번에는 GPO을 통해 데스크탑 배경화면을 변경하는 방법입니다.

배경화면으로 사용할 이미지는 미리 로컬에 복사하는 정책을 걸어두거나, 아니면 공유 경로를 사용할 수 있습니다.

그룹 정책 관리 편집기에서 '사용자 구성 - 정책 - 관리 템플릿 - 바탕화면'으로 이동한 후 '바탕 화면 배경 무늬'를 선택합니다. 

바탕 화면 배경 무늬를 '사용'으로 변경한 후 배경 무늬 이름에 사용할 배경 화면이 존재하는 경로 및 파일명을 지정합니다.

[참고 사이트 : http://www.grouppolicy.biz/2011/03/best-practice-using-group-policy-to-configure-desktop-wallpaper-background/]

Windows 7 로그온 화면을 변경하는 것을 Windows Server 2012 R2에 적용해보니 역시 적용되지 않았습니다.

다른 방법을 찾아보니 동일하게 그룹 정책을 통해 로그온 화면을 바꿀 수 있더군요.

특이하게 네트워크 공유에 존재하는 파일을 로그온 화면으로 쓸 수 있지만, Windows 7과 같이 로그온 화면으로 사용할 파일을 먼저 로컬에 복사하게 한 후 사용하는 것이 좋을 듯합니다. ^^;

Windows Server 2012 및 Windows 8의 로그온 화면을 변경하는 방법은 그룹 정책 관리 편집기를 실행한 후 '컴퓨터 구성 - 정책 - 관리 템플릿 - 제어판 - 개인 설정' 으로 이동한 후 '특정 기본 잠금 화면 이미지 적용'을 선택합니다.  

사용으로 변경한 후 '잠금 화면 이미지 경로'에 로그온 화면으로 사용할 이미지 파일이 존재하는 경로 및 파일을 입력합니다.

그룹 정책이 적용된 화면을 보면 아래와 같이 로그온 화면이 바뀐 것을 볼 수 있습니다. 

프로젝트 중에 모기업을 방문했는데 로그온 화면에 그 달에 중요한 내용들을 나타낸 것을 볼 수 있었습니다.

관리자 입장에서는 매달 변경해주어야 하는 어려움은 있겠지만,

컴퓨터 로그온 시마다 해당 화면을 보게된다면 자기도 모르게 암기(?)가 되지 않을까요? ㅎㅎ;;

GPO을 통해 Windows 7 로그온 시 배경화면을 바꾸는 방법입니다.

먼저, 변경할 로그온 배경화면을 특정 폴더에 공유하여 사용자가 접근할 수 있도록 권한을 주어야 합니다.

저는 보통, authenticate uses에 읽기 권한을 줍니다.

파일에 대한 공유가 끝났다면 그룹 정책 관리를 실행하여 새 그룹 정책을 만들어줍니다.

먼저, 파일 복사에 대한 그룹 정책을 설정하기 위해 '컴퓨터 구성 - 기본 설정 - Windows 설정 - 파일'로 이동한 후 마우스 우측 버튼을 클릭하여 '새론 만들기 - 파일'을 선택합니다.

 새 파일 속성 창이 나타나면 동작(T)는

'바꾸기'로 선택하고 원본파일이 존재하는 경로 및 파일명을 입력하고 대상 파일에는 %windir%\system32\oobe\info\backgrounds\backgrounddefault.jpg로 지정해줍니다.

이후 '공통' 탭으로 이동한 후 '이 항목을 더 이상 적용하지 않을 때 제거(M)'과 '항목 수준 대상(I)'을 선택하고 대상(T)를 선택합니다.

대상 편집기 창이 나타나면 새 항목(N) 버튼을 클릭하여 운영 체제를 선택한 후 Windows 7을 선택합니다.

두번째로 지정 로그온 배경을 사용하도록 변경하기 위해 '컴퓨터 구성 - 정책 - 관리 템플릿 - 시스템 - 로그온'으로 이동한 후 '항상 사용자 지정 로그온 배경 사용'을 선택하여 '사용'으로 변경합니다.

[지원에 Windows Server 2008 R2 및 windows 7인 것을 확인할 수 있습니다]

이후 그룹 정책이 적용되면 로그온 화면이 변경된 것을 확인할 수 있습니다.

그룹 정책을 통해 로그온 시 경고(?) 메시지를 나타내는 방법입니다.

먼저, Active Directory 서버에서 gpmc.msc 명령어를 통해 그룹 정책 관리를 실행합니다.

그룹 정책 관리가 실행되면 그룹 정책 개체를 마우스 우 클릭한 뒤 새로 만들기(N)을 선택합니다.

새 GPO 창에 그룹 정책 이름을 입력한 후 확인 버튼을 클릭합니다.

새로운 그룹 정책 개체가 생성되면 해당 개체를 마우스 우 클릭한 뒤 편집(I) 버튼을 클릭합니다. 

그룹 정책 관리 편집기가 실행되면 '컴퓨터 구성 - 정책 - Windows 설정 - 보안 옵션' 이동합니다.

먼저. 메시지 제목 설정을 위해 '대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목'을 선택한 뒤 '이 정책 설정 정의(D)'를 체크한 뒤 내용을 입력합니다.

두번째로, '대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트'를 선택한 뒤 '템플릿에 이 정책 설정 정의(D)'를 선택하고 내용을 입력합니다.

그룹 정책 관리 편집기를 종료한 뒤 그룹 정책 관리에서 적용할 도메인 또는 OU를 선택한 뒤 마우스 우 클릭하여 '기존 GPO에 연결(L)' 버튼을 클릭합니다.

GPO 선택 창에서 적용할 GPO를 선택하고 확인 버튼을 클릭합니다.

정책이 적용되면 하기와 같이 '경고'창이 나타나는 것을 볼 수 있습니다.