immersion

프로젝트 중에 다른 서버와의 패스워드 연동을 위해

사용자가 컴퓨터에서 패스워드를 변경할 수 없도록 해달라는 요청을 받았습니다.

패스워드를 연동하는 서버에서 따로 패스워드 정책을 가지고 있기 때문에

도메인의 패스워드 만료 정책이 제외되었으며 PC에서 Ctrl+Alt+Delete 키를 통해서는

패스워드를 변경할 수 없도록 처리하였습니다.

먼저, 변경 전 Ctrl+Alt+Delete 키를 눌러보면 패스워드 변경 화면이 나타나 있는 것을 볼 수 있습니다.

그럼, Ctrl+Alt+Delete키를 통해 패스워드를 변경할 수 없도록 하는 그룹정책을 만들어 보겠습니다.

먼저, Active Directory 서버에서 gpmc.msc 명령어를 통해 그룹 정책 관리를 실행합니다.

그룹 정책 관리가 실행되면 그룹 정책 개체를 마우스 우 클릭한 후 새로 만들기(N) 버튼을 클릭합니다.

새 GPO 창이 나타나면 이름을 입력한 후 확인 버튼을 클릭합니다.

그룹 정책 관리 창에서 새로 생성한 GPO을 선택한 후 '편집' 버튼을 클릭합니다.

그룹 정책 관리 편집기 창이 나타나면 '사용자 구성 -> 정책 -> 관리 템플릿 -> 시스템 -> Ctrl+Alt+Del 옵션'에서 '암호 변경 사용 안 함'을 선택합니다.

암호 변경 사용 안 함 창이 나타나면 사용을 선택하고 확인 버튼을 클릭합니다.

다시 그룹 정책 관리 창으로 돌아와서 정책을 적용할 도메인 또는 OU를 선택한 후 기존 GPO 연결 버튼을 클릭합니다.

GPO을 선택한 후 확인 버튼을 클릭합니다.

그룹 정책 관리에서 해당 정책을 선택하고 설정 탭을 눌러보면 정책이 생성된 것을 확인할 수 있습니다.

이제 그룹정책을 내려받기 위해 클라이언트에서 gpupdate /force 명령어를 실행합니다. 

'rsop.msc' 명령어를 실행하여 정책을 확인하여 remove change password 정책이 enable 된 것을 확이할 수 있습니다. 

이제 클라이언트에서 Ctrl+Alt+Delete 키를 입력해보면 정책 적용 전과는 다르게 Change Password.. 버튼(?)이 사라진 것을 확인할 수 있습니다.

[관련 사이트 : http://support.microsoft.com/kb/324744]

서버를 설치하고 나면 재부팅 또는 로그인 할 때마다

굳이 서버 관리자를 실행할 필요가 없는대도 자동으로 서버 관리자가 실행되는 것이 여간 불편하지 않았습니다.

물론 '로그온 시 서버 관리자를 자동으로 시작 안 함'을 체크해주면 되지만..

서버마다 이걸 체크해주는 것도 게으른 저에게는...^-^;;

그래서 정책으로 서버 관리자가 자동으로 실행되지 않도록 변경하는 방법입니다.

먼저. DC(도메인컨트롤러)에서 그룹 정책 관리를 실행합니다. (시작 -> 실행 - > gpmc.msc)

그룹 정책 관리가 실행되면, 그룹 정책 개체 탭으로 이동하여 마우스 오른쪽 버튼을 클릭하여 새로 만들기를 선택합니다.

새 GPO 창이 나타나면 생성할 GPO의 이름을 입력하고 확인 버튼을 클릭합니다.

(GPO 이름은 어떠한 정책인지 정책이 컴퓨터에 적용되는 것인지 사용자에게 적용되는 것인지 이름만으로 구별될 수 있도록 적어주는 것이 좋습니다. 물론 GPO 이름은 변경이 가능하고, 어떤 정책인지는 정책을 선택 후 '설정' 탭으로 이동하면 자세히 볼 수 있지만..)

그룹 정책 개체가 생성되면 해당 개체를 선택 후 마우스 오른쪽 버튼을 클릭하여 '편집'을 선택합니다.

 그룹 정책 관리 편집기 창이 실행되면 컴퓨터 구성 -> 정책 -> 관리 템플릿 -> 시스템 -> 서버 관리자 탭으로 이동한 후 '로그온 시 서버 관리자를 자동으로 표시 안 함'을 선택합니다.

로그온 시 서버 관리자를 자동으로 표시 안 함 창이 나타나면 '사용'을 선택하고 필요한 경우 설명을 입력한 후 확인 버튼을 클릭하여 창을 닫습니다.

정책을 편집한 후에는 그룹 정책 관리 편집기 창을 닫고 그룹 정책 관리 탭으로 이동하여 해당 정책의 설정 탭으로 이동하면, 정책이 편집된 것을 확인할 수 있습니다. 

정책이 생성되었으면 이 정책을 도메인 또는 OU에 연결해야 합니다.

(정책은 보통 도메인 보다는 필요한 OU에 연결하는 것이 좋다고 판단됩니다. 생성한 정책도 서버에만 해당되는 정책이기 때문에 도메인이 아닌 서버가 포함될 그룹에만 설정..)

정책을 적용할 OU를 선택하고 마우스 오른쪽 버튼을 클릭하여 기존 GPO에 연결을 선택합니다.

GPO 선택 창이 나타나면, 그룹 정책 개체를 선택하고 확인 버튼을 클릭합니다.

아래와 같이 정책이 적용된 것을 확인할 수 있습니다.

정책이 적용된 후 확인해보면 서버 관리자 속성에 '로그온 시 서버 관리자를 자동으로 시작 안 함' 체크되어 있고, 변경할 수 없는 것을 확인할 수 있습니다. 

rsop.msc 명령어를 통해 정책 결과 집합을 실행해보면 마찬가지로 정책이 '사용'으로 되어 있으며, 변경할 수 없는 것을 볼 수 있습니다.

이번에는 앞에서 설치한 도메인 컨트롤러에 추가 도메인 컨트롤러를 구성하는 절차입니다.

기본적으로 IP 세팅과 컴퓨터 네임을 변경하는 절차와 역할을 추가하는 절차는 첫번째 도메인 컨트롤러를 구성하는 부분과 동일하기 때문에 생략하고 구성하는 부분만 포스팅 합니다.

먼저, Active Directory 도메인 서비스 구성 마법사를 실행한 후 '기존 도메인 컨트롤러를 추가합니다'를 선택합니다.

이후 도메인명과 자격증명을 지정한 후 '다음' 버튼을 클릭합니다.

도메인 컨트롤러 옵션 창에서는 DSRM(디렉터리 서비스 복원 모드)의 암호를 입력한 후 다음 버튼을 클릭합니다.

DNS 옵션 창에서 다음 버튼을 클릭합니다.

추가 옵션 창에서 복제할 서버를 지정하거나 모든 컨트롤러에서 복제를 선택한 후 '다음' 버튼을 클릭합니다.

경로 창에서는 AD DS 데이터베이스, 로그 파일, SYSVOL의 위치를 지정한 후 다음 버튼을 클릭합니다.

경로 옵션 창에서 설정한 값을 확인한 후 '다음' 버튼을 클릭합니다.

필수 구성 요소 확인 창에서 '설치' 버튼을 클릭하여 도메인 컨트롤러 구성을 완료한 후 서버를 재부팅 합니다.

위의 작업들은 파워쉘을 통해서도 작업이 가능합니다.

$domainname = "Donkey.local"
$PATH = "C:\AD"
$safepassword="패스워드"
Import-Module ADDSDeployment
Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -CriticalReplicationOnly:$false -DatabasePath "$PATH\NTDS" -DomainName "$domainname" -InstallDns:$true -LogPath "$PATH\NTDS" -NoRebootOnCompletion:$false -SiteName "Default-First-Site-Name" -SysvolPath "$PATH\SYSVOL" -Force:$true -safemodeadministratorpassword (convertto-securestring "$safepassword" -asplaintext -force) -Credential (Get-Credential)

Windows Server 2012 R2 - Active Directory를 설치

Windows Server 2012 R2에서 도메인 컨트롤러를 설치하는 절차를 적어볼까 합니다.

Windows Server 2012와는 동일하며 Windows Server 2008 및 Windows Server 2008 R2와 다른 점은 기능을 추가한 후 설정을 변경해야 한다는 점입니다.

도메인컨트롤러를 구성하는 절차는 크게

'일반적인 세팅(IP, 컴퓨터 네임 변경) -> 재부팅 -> 기능 추가 -> 구성' 순입니다.

그럼 먼저 IP부터 세팅해보겠습니다.

도메인컨트롤러는 당연히 고정 IP를 세팅해주어야 합니다. (변경 시 멤버 서버 및 클라이언트의 DNS를 모두 변경해주어야 하는....)

먼저, IP를 세팅할 이더넷을 선택한 후 마우스 오른쪽 버튼을 클릭하여 속성을 선택합니다.

이더넷 속성 창이 나타나면 IPv4 선택 후 속성을 선택합니다. (IPv6를 사용하지 않는 경우에는 해제..)

마지막으로, IP 주소와 DNS 서버 주소를 입력하고 확인 버튼을 클릭하여 IP 세팅을 마칩니다. (도메인 컨트롤러의 DNS는 자기 자신과 추가 DNS를 입력합니다)

IP 세팅을 했다면, 두번째로 컴퓨터 이름을 변경할 차례입니다. (IP 세팅과 컴퓨터 이름 변경 순서는 바뀌어도 상관없지만...컴퓨터 이름을 바꾸면 무조건 재부팅하는 습관이 있어서..)

컴퓨터 이름을 바꾸기 위해서는 시스템 속성 창을 실행한 후 변경 버튼을 클릭합니다.

컴퓨터 이름/도메인 변경 창이 나타나면 컴퓨터 이름을 변경한 후 확인 버튼을 클릭합니다.

컴퓨터 이름 변경 시 컴퓨터를 다시 시작해야 한다는 경고 창이 나타나면 확인 버튼을 클릭합니다.

변경 내용 적용을 위해 다시 시작 버튼을 클릭하여 컴퓨터를 재시작합니다.

IP 세팅 및 컴퓨터 이름 변경이 완료되면 도메인 컨트롤러 구성을 위해 서버 역할을 추가할 차례입니다.

서버 관리자를 실행한 후 역할 및 기능 추가 마법사를 통해 A0D를 구성하기 위해 Active Directory 도메인 서비스와 DNS 서버를 선택합니다.

Active Directory 및 DNS 서비스에 필요한 기능 추가에 대한 창이 나타나면 기능 추가 버튼을 클릭하여 기능을 추가합니다.

기능 추가가 완료되면 도메인 컨트롤러를 구성할 차례입니다. 다음과 같이 서버 관리자를 실행한 후 '이 서버를 도메인 컨트롤러로 승격' 버튼을 클릭합니다.

새 도메인 컨트롤러를 구성하는 것이기 때문에 '새 포리스트를 추가합니다' 버튼을 선택 후 도메인 이름을 입력합니다.

다음으로 리스트 및 도메인 기능수준을 선택하고 DSRM(디렉터리 서비스 복원 모드) 암호를 입력한 후 다음 버튼을 클릭합니다.

DNS 옵션 창에서는 다음 버튼을 클릭합니다.

NETBIOS 이름을 입력한 후 다음을 클릭합니다. 보통 도메인명의 앞 부분을 NetBIOS 도메인 이름으로 사용하나, 다른 것으로 NetBIOS 이름으로 정해도 됩니다.

예를 들어 도메인명은 DONKEY.local 이지만 NetBIOS명은 DONKEY가 아닌 KINGKONG으로 사용해도 됩니다.

다음으로 로그 파일이 저장될 위치를 입력한 후 다음 버튼을 클릭합니다.

검토 옵션이 나타나면 선택한 사항을 확인한 후 다음 버튼을 클릭합니다.

필수 구성 요소 확인 창에서 설치 버튼을 클릭하면 도메인 서비스 구성이 시작되며, 구성이 완료된 후에는 반드시 서버를 재부팅해주어야 합니다.

위와 같이 도메인 컨트롤러를 구성하는 작업을 파워쉘을 통해서도 작업이 가능합니다.

1. 고정 IP 세팅

$ipaddress = "10.10.10.211"
$ipprefix = "24"
$ipgw = "10.10.10.254"
$ipdns1 = "10.10.10.211"
$ipdns2 = "10.10.10.212"
$ipif = (Get-NetAdapter).ifIndex
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ("$ipdns1", "$ipdns2")

2. 컴퓨터 이름 변경

#rename the computer
$newname = "TI-DC01"
Rename-Computer -NewName $newname -force
Restart-Computer

3. 역할 추가하기

$LogPath = "c:\log\Addfeaturelog.txt"
New-Item $LogPath -ItemType file -Force
start-job -Name addFeature -ScriptBlock {
Add-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools }
Wait-Job -Name addFeature
Get-WindowsFeature | Where installed >>$LogPath

4. 도메인 컨트롤러 구성하기
$domainname = "DONKEY.LOCAL"
$netbiosName = "DONKEY"
$PATH = "C:\AD"
$DatabasePath = "$Path\NTDS"
$SysvolPath = "$Path\Sysvol"
$safepassword = "패스워드"
Import-Module ADDSDeployment
Install-ADDSForest -DomainName $domainname -DomainNetbiosName $netbiosName -safemodeadministratorpassword (convertto-securestring "$safepassword" -asplaintext -force) -CreateDnsDelegation:$false -DomainMode "Win2012" -ForestMode "Win2012" -DatabasePath "$DatabasePath" -InstallDns:$true -LogPath "$DatabasePath" -NoRebootOnCompletion:$false -SysvolPath "$SysvolPath" -Force:$true

Restart-Computer