ㅡㅡ; 쩝..잘 될랑가 몰겠지만...일단 해보고...
sudo apt-get update
sudo apt-get install linux-restricted-modules-$(uname -r) #Okay if it is already installed
sudo apt-get install xorg-driver-fglrx
sudo depmod -a
sudo aticonfig --initial
sudo aticonfig --overlay-type=Xv

sudo shutdown -r now

이것만으로 설치가 되었고 fgl_glxgears 실행결과 잘 동작했다고 하는데 난 왜 안되는겨어어어어어~

댓글을 달아 주세요

여길 눌러주삼용 ^^;
공부는 해야 하는데...으...

'STUDY' 카테고리의 다른 글

실버라이트 관련 블로그 정리(외국)  (2) 2007.07.23
링크  (0) 2006.07.14

댓글을 달아 주세요

  1. 온탕문장 2007.07.23 17:38 신고 Address Modify/Delete Reply

    영어로 되어있어 도통 알아 먹을 수 가없군요..
    좋은정보를 공유할려면 좀 현실적이고 일률적인 자료를 올려야 할듯..


골드카드 만들기

메모 2007.07.19 19:26 |

사용자 삽입 이미지

디자인스푼에서 펌~


'메모' 카테고리의 다른 글

[HERS]란 영화?  (2) 2007.07.27
스타일 구기고 싶지 않다면 입단속부터 하라!  (0) 2007.07.24
골드카드 만들기  (2) 2007.07.19
starcraft2  (3) 2007.07.13
음악 생성기  (0) 2007.07.05
기분좋게 아침 일찍 일어나는 방법  (2) 2007.07.05

댓글을 달아 주세요

  1. 냉무문장 2007.07.20 13:25 신고 Address Modify/Delete Reply

    뭡니까? 글씨도 않보이는고만..


0.0.0.1 서브 디렉토리까지 파일안의 문자열 모두 검색
find ./ -name "*" -exec grep 'abc' {} \; -print find . -name -print -exec grep abc {} \; grep -r abc *

0.0.0.2 haha와 huhu가 동시에 들어있는 행 뽑기
grep haha foo.txt | grep huhu

0.0.0.3 찾아서 지우기
find / -name "*.eml" -exec rm -f {} \;

0.0.0.4 공사중에 로그인 막기
시스템을 공사중일 때, root 이외의 다른 사용자를 로그인 못하게 해야 할 때가 있죠? 그럴 때는, /etc/nologin 이라는 파일을 만들어,공사중 또는 Under Construction이라는 공지를 넣으면 됩니다.


0.0.0.5 크기가 가장 큰 파일, 디렉토리 찾기
가장 큰 디렉토리를 찾으려면,  du -S | sort -n  

0.0.0.6 가장 큰 파일을 찾으려면
ls -lR | sort +4n  

0.0.0.7 현재 디렉토리의 크기만을 파악할때
[root@dev2 local]# du -c -h --max-depth=0 * 6.4M apache 35M bin 43M dns 1.7M doc 42k etc 1.0k games 42k geektalkd 1.1M gnuws 1.1M include 41k info 19M jakarta-tomcat-3.2.3 0 jre 15M jre118_v3 25M lib 62k libexec 1011k man 1.3M mm.mysql.jdbc-1.2c 937k sbin 3.8M share 1.8M shoutcast-1-8-3-linux-glibc6 5.2M ssl 159M total

0.0.0.8 시스템 정보 감추기
/etc/inetd.conf 파일을 열어서,
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

0.0.0.9 어떤 프로세스가 메모리를 가장 많이 잡아먹고 있는지 알아내기
ps -aux | sort +4n  또는 ps -aux | sort +5n  

0.0.0.10 FTP로 들어온 사용자 확인하기
ftpwho,ftpcount  

0.0.0.11 원하지 않는 사용자 죽이기
[root@dream /root]# skill -KILL sunny  
위의 명령을 내리면 sunny 라는 사용자를 완전히 추방시킬수 있습니다. 그런데 이렇게 완전히 추방시키는게 아니구, 특정 터미널에 접속해있는 사용자만 추방시켜야 할 때도 있겠죠? 그럴때는

[root@dream /root]# skill -KILL -v pts/14  

이런식으로 하면 된다 그럼 pts/14 에 연결되어 있는 사용자가 죽게 됩니다.


0.0.0.12 less 결과를 vi로 보기
less상태에서 v를 누르면 바로 vi로 감

0.0.0.13 vi에서 블럭 설정하기
alt+v 하면, 라인 단위로 블럭 설정을 할 수 있으며, 해제 하시려면 Esc를 누르면 됩니다. 또한 ctl+v를 하시면, 블럭 단위로 블럭을 설정하실 수 있습니다.
블럭을 설정 하신 뒤,

삭제를 하려면 x 복사를 하려면 y 붙여넣기는 p


0.0.0.14 man 페이지 프린트하기
man -t vi > vi.ps  

0.0.0.15 ping 무시하기
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

0.0.0.16 LILO 다시 살리기
boot : vmlinuz root=/dev/hda6  

0.0.0.17 특정 사용자 ftp 접근 막기
/etc/ftpusers 파일에 로그인 네임을 추가하면 됩니다.


0.0.0.18 X 윈도우에서 TV보기
리눅스에서 TV보기 위해서는 드라이버 파일과 TV를 보는 프로그램이 필요합니다. 이 글에서는 미지 리눅스 OS에 탑재된 bttv 칩셋을 사용하는 TV 카드를 기준으로 설명합 니다. 만일 커널을 새로 컴파일 하실 분은 반드시 Character devices -> Video For Linux -> BT848 Video For Linux 항목을 모듈화 시키거나 커널에 포함하십시오.
TV 카드를 리눅스에 인식시키기 위해서 /etc/conf.modules 파일에 다음과 같은 내용을 삽입하고 컴퓨터를 다시 시작합니다.


alias char-major-81 bttv # 필립스 튜너의 경우 pre-install bttv modprobe -k tuner # 알프스 튜너의 경우 pre-install bttv modprobe -k tuner type=9
이제 kwintv나 xawtv 등의 TV 시청 프로그램으로 TV를 볼 수 있습니다. 만약 TV 장치를 찾지 못하는 오류가 있다면 bttv driver 디렉토리에 포함된 MAKEDEV 를 실행하십시오.


0.0.0.19 ls라는 파일이 포함된 rpm패키지 찾기
일단 ls의 절대경로를 알아야 한다. which lswhich로 알아낸 ls의 절대경로로 rpm질의를 한다.
rpm -qf /bin/ls [root@piruks /etc]# which ls /bin/ls [root@piruks /etc]# rpm -qf /bin/ls fileutils-4.0i-2mz

0.0.0.20 현재 rpm패키지의 의존패키지
rpm -qR 패키지명  

0.0.0.21 현재 디렉토리크기
du -h --max-depth=1 .  

0.0.0.22 바로 이전 디렉토리로 가기
cd -  

0.0.0.23 프로세스명으로 프로세스 죽이기
killall 프로세스명 kill -9 `pidof 프로세스명

0.0.0.24 하드웨어 시계맞추기
배포본을 설치하고 나면 시간이 맞지 않는 경우가 많다. 간단히 어느정도 정확한 시간을 설정하는 방법이다.
[root@dev /down]# rdate -s time.kriss.re.kr [root@dev /down]# clock -w

0.0.0.25 원격에서 리모트서버의 X application실행시
X윈도 app를 실행할때 다음과 같은 에러가 나면 조치
[kang@dev /home/kang] xclock Xlib: connection to "211.222.186.170:0.0" refused by server Xlib: Client is not authorized to connect to Server Error: Can't open display: 211.222.186.170:0.0 export DISPLAY=211.222.186.170:0 xhost +211.222.186.170

0.0.0.26 링크 파일
ln -sf 링크할디렉토리 링크로 만들어질 디렉토리  참고로 링크를 걸기만 한다고 접근가능한것은 아니고,링크가 걸린 디렉토리의 퍼미션도 허용으로 바꿔야 한다. 링크로 만들어질 디렉토리는 저절로 생성되고 퍼미션 777로 잡혔음.  ln -sf /www/dir_1/r_photo /www/dir_2/r_photo  

0.0.0.27 ^M 문자 없애기
a = 1^M def vartest(a):^M a = a + 1^M return a^M a = vartest(a)^M print a^M
Unix류 기계에서는 그냥 ^J 하나만을 개행문자로 사용하는데 PC에서는 MJ 이렇게 두 제어문자가 연속으로 사용되어야 개행문자로 받아들이죠. (그래서 PC쪽에서 만들어진 txt문서를 유닉스 기계로 불러와 vi 등을 실행하면
줄 끝마다 보기싫은 ^M이 붙습니다. 뭐 vi에서 요거 지우는건 간단하지만요.)

PC에서 Unix에서 작성한 텍스트 문서를 보통 ftp로 받아오거나 하면 워드패드 등에서 봤을 때 전혀 개행이 되어있지 않지요. 하지만 MS Word 등 좀더 강력한 편집기에선 대개 잘 처리해서 잘 보여줍니다.

위는 간단한 Python 소스입니다. 위의 경우 처럼 ^M문자가 있을때, dos2unix라는 유틸리티를 많이 사용하기도 하죠. 하지만 vi에서 간단하게 모두 삭제할수도 있습니다. dos2unix가 없거나 빠져나가서 지우는게 귀찮을때 좋겠죠. 명령은  :%s/(ctrl+v)M//g  입니다.  (ctrl+v)M  이거는 ctrl과 v를 눌러준후, ctrl키를 떼지 말고 바로 m을 눌러주시믄 됩니다. 위는 정규표현식을 이용한것이고, 형식은  %s/이것을/요걸로/g  입니다 그럼 문서안의 모든 "이것을" "요걸로" 바꾸게 되죠. 단, M의 경우 ctrl+M의 뜻인데 단순히 문자로 M을 바꾸라도 해도 인식을 못하기 때문에, 위처럼  (ctrl+v)M  으로 해주셔야 합니다.


0.0.0.28 비어있는 행을 찾기
#grep -n '^$' filename  정규표현 의미 ^ 행의 처음 $ 행의 끝 . 임의의 한 문자
[...] ... 안의 임의의 한 문자. a-z,0-9 같은 범위도 사용 [^..] .. 안에 없는 임의의 한 문자. 범위 사용가능 r* 0회 이상 r 반복 r+ 1회 이상 r 반복 r? 0 혹은 1회의 r r{n,m} n회 이상 m회 이하 r 반복 r1|r2 r1 혹은 r2 (egrep 만) (r) r 의 정규표현(egrep 만)

0.0.0.29 기타 명령어 떼
alias(명령어 간소화하기) apropos(관련된 명령어 찾기) arch(컴퓨터 종류 알기) arp(같은 서브넷의 IP 보여주기) at(작업 시간 정하기) atd(계획성 있는 작업 실행하기) awk(특정 패턴 문자 처리하기) a2p(펄 파일로 바꾸기) badblocks(배드 블럭 검사하기) bc(계산기) biff(메일 수신 소리로 확인하기) bg(후면작업; 배경화면 설정) bind(키나 함수 순서 결합하기) break(루프 빠져나가기) cal(달력보기) builtin(내부 명령어 알아보기) case(조건 처리하기) cat(화면상에서 파일 보기) cd(디렉토리 변경하기) cfdisk(디스크 설정하기) chattr(파일 속성 변경하기) chfn(사용자 정보 변경하기) chgrp(파일, 디렉토리가 속했던 그룹 바꾸기) chmod(파일 권한 바꾸기) chown(파일 주인 바꾸기) chsh(지정된 셸 바꾸기) cksum(CRC값을 점검한다) clear(화면 청소하기) clock(CMOS 시각을 조정하기) cmp(파일 비교하기) colcrt(문자 변환 필터) colrm(열 삭제하기) column(가로 정렬하기) comm(파일 비교 출력하기) command(명령어 알아보기) continue(루프 계속돌기) cp(파일 복사하기) cpio(복사본 만들기) crontab(cron을 관리한다) csplit(파일에 서식, 규칙 정하기) cut(필요한 필드만 출력하기) date(날짜 보기) dd(블럭장치 읽고 쓰기) debugfs(ext2 파일 시스템 디버깅하기) declare(변수 선언하기) df(파일 시스템의 사용량 보기) dirs(디렉토리 목록 표시하기) dmesg(부팅 메시지 보기) dnsdomainname(DNS 이름 출력) domainname(NIS 이름 출력&설정) du(디렉토리와 파일의 용량 파악하기) dumpe2fs(파일 시스템 정보 보기) echo(표준 출력하기) eject(장치 해제하기) elm(메일 관련) enable(내부 명령어 지정) env(환경변수 출력하기) eval(인수 읽기) exec(셸 명령어 실행하기) exit(종료하기) expand(탭을 공백으로 변환하기) export(변수 지정하기) e2fsck(파일 시스템 복구하기) fc(지정된 편집기 받기) fdformat(플로피 디스크 포맷하기) fdisk(파티션 나누기) fg(지정된 작업을 전면 프로세스로 시작하기) file(파일 종류 보기) find(파일 찾기) finger(사용자 정보 알기) fold(정형화하기) fmt(정형화하기) for(반복 실행하기) free(메모리 사용량 알아보기) fsck(파일 시스템 검사하기) fstab(파일 시스템에 대한 고정적인 정보 저장하기) ftp(파일 전송 프로그램) fuser(프로세스 ID 출력) getkeycodes(매핑 테이블 출력하기) grep(특정 문자(열) 검색하기) gzexe(실행 파일 압축하기) gzip(압축하기) halt(시스템 종료하기) hash(기억해 두기; index 역할) head(파일의 앞부분 출력하기) help(도움말 보여주기) host(호스트 정보 보기) history(사용 명령어 목록보기) hostname(서버 이름 알기) id(계정 정보 알기) if(조건문 실행하기) ifconfig(랜카드에 주소 할당하기) imolamod(모듈 설치하기) inetd(인터넷 서비스의 최상위 데몬) init(실행 단계 정하기) ispell(철자법 검사하기) jobs(수행중인 프로세스 알기) kbd_mode(키보드 모드 출력하기) kill(프로세스 죽이기) klogd(커널 로그 데몬) ldd(공유 라이브러리의 의존성 알기) less(페이지 단위로 출력하기) let(정규식 표현하기) lilo(부팅하기) ln(링크하기) locate(패턴에 맞는 파일 찾기) login(로그인하기) logger(시스템 로그 기록하기) logname(사용자 로그인명 보여주기) logout(로그인 셸 종료하기) look(특정 단어 검색하기) losetup(중복 장치 확인하기) lpd(프린트 데몬) lpq(현재 프린트 작업 상태 출력하기) lpr(출력하기) lprm(대기열에 있는 문서 삭제하기) ls(디렉토리 내용보기) lsattr(파일 시스템의 속성 보여주기) lsdev(하드웨어 장치 출력하기) lsmod(모듈 정보 출력하기) mail(메일 관련) make(컴파일하기) man(매뉴얼 보기) mattrib mbadblocks mcd mcopy mdel mdeltree mdir mesg(메시지를 받을 수 있는지 확인하기) mformat minfo mkdir (디렉토리 만들기) mke2fs(파일 시스템 생성하기) mkfs(파일 시스템 만들기) mknod(특수 파일 만들기) mkswap(스왑 영역 지정하기) mlabel mmd mmount mmove mpartition mount(장치 연결하기) more(화면 단위로 출력하기) mrd mren mtoolstest mtype mutt(메일 관련) mv(파일 옮기기) mzip netstat(현재 네트웍 상황 보기) nice(프로세스 우선 순위 변경하기) od(8진수로 파일 보기) passwd(암호 입력하기) pidof(실행중인 프로그램의 프로세스 ID 찾기) pine(메일 관련) ping(네트웍 확인하기) popd(pushd 취소) ps(프로세스 상태 알기) pstree(프로세스 상관관계 알기) pwd(절대경로 보여주기) quota(디스크 한계량 알기) rarp(rarp 테이블 관리하기) rcp(원격 호스트에 파일 복사하기) rdev(루트, 스왑장치, 램 크기, 비디오 모드를 조사하고 설정하기) rdate(네트웍으로 시간 설정하기) reboot(재부팅하기) rmmod(모듈 지우기) readonly(읽기 전용으로 표시하기) renice(프로세스 우선 순위 바꾸기) reset(터미널 초기화하기) restore(다시 저장하기) rlogin(바로 접속하기) rm(파일 지우기) rmdir (디렉토리 지우기) route(라우팅 테이블 추가/삭제하기) rpm(프로그램 추가/삭제) rpm2cpio(rpm을 cpio로 변환하기) rsh(원격으로 명령어 실행하기) rup(호스트 상태 출력하기) rusers(호스트에 로그인한 사용자 출력하기) rwall(호스트 사용자에게 메시지 뿌리기) script(기록하기) set(변수값 설정하기) setup(시스템 관련 설정하기) showmount(호스트의 마운트 정보 보여주기) shutdown(전원 끄기) sleep(잠시 쉬기) source(스크립트 번역하기) split(파일 나누기) ssh(암호화된 원격 로그인하기) stty(터미널라인 설정 보여주기) su(계정 바꾸기) suspend(셸 중단하기) swapoff (스왑 해제하기) swapon(스왑 활성화하기) sync(버퍼 재설정하기) syslogd(로그인 과정 설정하기) tac(거꾸로 보기) tail(문서 끝부분 출력하기) talk(이야기하기) tar(파일 묶기) tcpdchk(tcp wrapper 설정하기) tcpmatch(네트웍 요청에 대해 예측하기) tee(표준 입력으로부터 표준 출력 만들기) telnet(원격접속하기) test(테스트하기) times(셸에서의 사용자와 시스템 시간 출력하기) top(cpu 프로세스 상황 보여주기) tr(문자열 바꿔주기) true(종료 코드 리턴하기) type(유형 보기) ul(밑줄 처리해서 보여주기) ulimit(제한하기) umask(매스크 모드 설정하기) umount(장치 해제하기) unalias(별명 제거하기) uname(시스템 정보 보기) unexpand(공백 문자를 탭으로 변환하기) uniq(중복된 문장 찾기) useradd(사용자 계정 만들기) userdel(계정 삭제하기) usermod(사용자 계정정보 수정하기) unset(설정 변수 해제) uptime(시스템 부하 평균 보여주기) users(로그인된 사용자 보여주기) w(시스템에 접속한 사용자 상황 알아보기) wait(프로세스 기다리기) wall(모든 사용자에게 메시지 보내기) wc(문자, 단어, 라인수 세기) whatis(명령어의 간단한 설명보기) while(루프 명령어) who(사용자 알기) write(콘솔 상에서 간단한 메시지 보내기) xcopy(반복적으로 복사하기) XFree86 ypchfn(NIS에서 사용하는 chfn 명령어) ypchsh(NIS에서 사용하는 chsh 명령어) yppasswd(NIS에서 사용하는 passwd 명령어) zcat(압축 파일 보기) zcmp(압축 파일 비교하기) zforce(강제로 gz 만들기) zgrep(압축 상태에서 grep 실행하기) zmore(압축 상태에서 more 실행하기) znew(.Z 파일을 .gz로 다시 압축하기)

0.0.0.30 각자가 사용하는 컴퓨터의 정보를 알고 싶을때
[root ...]#more /proc/cpuinfo  위와 같이 치면 사용자의 컴퓨터 정보를 볼수 있으며,  [root ...]#more /proc/meminfo  라고 치면 사용자의 메모리 정보를 볼수 있습니다.

0.0.0.31 전체 메일
먼저 보낼 내용을 텍스트로 파일로 만들어야 합니다.어디에서든지 가능하지요!  [ root@aromi /root]# vi nea  안녕하세요! 저희 서버에서는 웹서버를 오늘부터 시작합니다. 사용자 여러분의 많은 관심과 이용을 부탁드립니다.
:wq [ root@aromi /root]#
만약, 한글을 사용하지 못하면 윈도우95에서 먼저 쓴다음에 ftp를 이용해서 올리면 됩니다.
[ root@aromi /root]# mail -s "[공지]" `cat /etc/passwd|gawk ?F :'{print$1}'`
[공지]->  라고 쓴 것은 보낼 메일의 제목입니다.  'cat /etc/passwd|gawk -F : '{print$1}''  ->먼저 cat으로 passwd파일의 첫번째 나오는 내용을 출력하라는 소리입니다. nea라는 텍스트파일을 메일의 내용으로 보내라는 내용입니다.

0.0.0.32 디렉토리만 빠르게 검색
ls -al | grep "^d"  

0.0.0.33 호스트 네임 바꾸기
/etc/HOSTNAME file은 부팅시 /etc/sysconfig/network file 의 HOSTNAME 부분을 참조하여 저장합니다. 호스트 네임을 바꾸고자 한다면 /etc/sysconfig/network file 의 HOSTNAME 부분을 바꿔주면 됩니다.
[ root@linux /root]# vi /etc/sysconfig/network NETWORKING=yes HOSTNAME="linux" GATEWAY="" GATEWAYDEV="" FORWARD_IPV4="yes"
바꾸신후 시스템을 재부팅 하신거나, #/etc/rc.d/init.d/network restart 명령을 내리시면 됩니다.

0.0.0.34 틀린명령어 틀린글자만 바꿔서 실행
# ./configure --prefax=/usr/local/apache  앗, 틀렸습니다. prefax가 아니라 prefix인데... 고쳐야지요...간단하게 화살표키로 왔다갔다 하면서 지워지고 바꿔주면 되겠지만 다른 방법이 있습니다.  # ^fax^fix^  라고 하면...  -> ./configure --prefix=/usr/local/apache  라고 됩니다..

0.0.0.35 유닉스의 현재 버젼과 종류 그리고 라이센스등을 알려주는 명령어
[ root@aromi /root]# uname -a  

0.0.0.36 열려있는 포트 알아내기
netstat -anp | grep LISTEN  

0.0.0.37 텔넷 모든 접속자에게 메세지 보내기
wall 내용...  Ctrl-D  

0.0.0.38 lsof는 열려있는 파일을 나타내 주는 옵션
여기에 보안 점검을 위하여, -i 옵션을 사용하면, 현재 열려 있는 포트와 링크되어 있는 서비스 또는 프로그램이 모두 나타나죠. 자신이 열어 놓지 않은 포트가 열려있다던지하면 한번쯤 의심해 봐도 되겠죠?

0.0.0.39 사용자가 어디에서 무엇을 하는지 알아내기
w라는 명령어를 사용하시면 된답니다. 이 때,  w [-s]  를 붙여주시면 -s 옵션이 긴 정보 대신에 필요한 짧은 정보만 알려 준답니다.

0.0.0.40 텔넷 화면 수정
로그인화면:  /etc/issue.net  로그인후화면:  /etc/motd  

0.0.0.41 하위 디렉토리 한꺼번에 만들기
mkdir -p music/koreanmusic/ost  

0.0.0.42 특정디렉토리의 모든 파일 안의 특정 문자열 치환
for i in $*; do sed "s/paper/PAPER/g" < $i > $i.new mv -f $i.new $i done <chihwan.sh> find ./(chihwan.sh를 포함하지 않는 디렉토리면) -type f -exec chihwan.sh {} \;

0.0.0.43 killall 명령 시뮬레이션 (프로세스명으로 죽이기)
ps aux | grep 프로세스명 | grep -v grep | awk '{ print $w }' | xargs kill -9  
모든 프로세스 나열
지정한 프로세스만 뽑아냄
grep 명령이 포함된 라인 제거
awk로 두번째 필드만 뽑아냄
xargs에 의해 걸러진 아이디로 죽임

0.0.0.44 find와 grep
find . -name "H20021115.*" -exec grep -l '...;........;110100' {} \;

0.0.0.45 vi 검색, 치환
구호스트 서비스 오늘 날짜에서 분류코드가 110100인 파일 찾기 :%s/./\U&/g
모든문자->대문자 g/^$/d


0.0.0.46 파일내의 중복되는 행을 제거 : uniq
입력 파일에서 연속되는 행을 비교하여, 두 번째 이상의 동일한 행들을 제거하고 나머지는 출력파일로 출력 연속되어 표시되지 않으면 동일한 행이 존재할 수 있음.
sort 명령을 사용하여 정렬한 후 사용하는 것이 타당 사용법uniq [-cdu] [+|숫자] [입력파일 [출력파일]] -c : 각 행이 연속적으로 나타난 횟수를 행의 시작부분에 표시 -d : 연속적으로 반복되는 행만 출력 -u : 연속적으로 반복되지 않는 행만 출력 +숫자 : 행의 처음 '숫자' 만큼의 문자는 무시 -숫자 : 행의 처음 '숫자' 만큼의 필드는 무시


0.0.0.47 파일의 결합
여러 개의 텍스트 파일을 하나의 파일로 순차적으로 묶는데 사용
cat [파일명1] [파일명2] ... > [출력파일명] cat [파일명1] [파일명2] ... >& [출력파일명] cat [파일명1] [파일명2] ... >> [출력파일명] cat [파일명1] [파일명2] ... >>& [출력파일명] cat - [파일명1], [파일명2] .. >> [출력파일명] cat - [파일명1], [파일명2] .. >>& [출력파일명] % cat > file1 파일명 : file1 ^D % cat > file2 파일명 : file2 ^D % cat file1 file2 > file3 % cat file3 파일명 : file1 파일명 : file2 %
행단위 결합 : paste 여러 파일에 대해여 행간 결합을 수행하거나 하나의 파일에 대해 연속되는 행들을 결합 둘이상의 파일에 대해서 테이블상의 하나의 열과 같이 취급하여 동일한 행번호 끼리 결합

paste [파일명1] [파일명2].. paste -d리스트 [파일명1] [파일명2] ... paste -s [-d리스트] [파일명] d : 행간 결합시 행간 구분문자들의 리스트 s : 한파일의 연속되는 행을 결합 % cat > paste.data1 홍길동 이순신 김유신 % cat > paste.data2 부산 서울 대구 % paste paste.data1 paste.data2 홍길동 부산 이순신 서울 김유신 대구 % paste -d"\n" paste.data1 paste.data2 홍길동 부산 이순신 서울 김유신 대구 % paste -s -d"::\n" paste.data1 홍길동:이순신:김유신 %
두 파일을 동일한 필드 값에 따라 행 단위 결합 : join

관계형 데이터 베이스에서의 join 연산과 동일 키로 사용할 필드에 대해 정렬된 두 파일의 각 행에 대해 동일한 키 값을 갖는 행들을 결합 입력으로 사용될 두 파일은 키 값에 대해 오름 차순으로 정렬되어 있어야 함 출력 결과는 기본적으로 키 값이 먼저 표시되고, 첫번째 파일에서 키를 제외한 나머지 필드, 두번테 파일에서 키를 제외한 나머지 필드가 표시 필드 구분은 공백, 탭, 개행문자가 기본, 연속적으로 나타날 경우 하나로 취급


% cat > join.data1 98001:서원일: 98002:홍길동: 98003:김유신: 98004:이순신: 98010:이상관: % cat > join.data2 부산:98001:441 울산:98002:89 대구:98003:99 서울:98004:120 김해:98010:44 % join -j1 1 -j2 2 -t: join.data1 join.data2 98001:서원일::부산:441 98002:홍길동::울산:89 98003:김유신::대구:99 98004:이순신::서울:120 98010:이상관::김해:44 % join -j1 1 -j2 2 -o 1.2 1.1 2.1 -t: join.data1 join.data2 서원일:98001:부산 홍길동:98002:울산 김유신:98003:대구 이순신:98004:서울 이상관:98010:김해 %

0.0.0.48 파일의 암호화 : crypt
파일을 암호화 하여 키를 알지 못하는 사람은 내용을 볼 수 없도록 함 표준 입출력 사용
% cat > crypt.data test test 안녕하십니까? ^D % crypt <crypt.data > crypt.data1 Enter key: hello % ls -l crypt* -rw-r--r-- 1 wiseo pro 24 9월 24일 14:47 crypt.data -rw-r--r-- 1 wiseo pro 24 9월 24일 14:48 crypt.data1 % crypt < crypt.data1 Enter key:hello test test 안녕하십니까? %

0.0.0.49 개행을 제외한 화면내의 보이지 않는 문자 출력
cat -v http://comp-cse.sch.ac.kr/~pl/lecture/linux/file2.html

0.0.0.50 화일내의 포함된 특정문자열로 찾아서 내용만 출력하기
grep -h '20030305......01' ./R00*

0.0.0.51 특정 파일의 화일명을 비슷하게 여러개 한꺼번에 바꾸기
ls *.* | awk '{print "mv",$1, $1 }' | sed "s/ \([a-zA-Z0-9]*\)\.\([a-zA-Z0-9]*\)$/ \1\.\_\2/g"
현재디렉토리의 모든 *.* 파일을 *._* 형식으로 바꾼다.
더 간단하게 ls *.* | sed "s/\([a-zA-Z0-9]*\)\.\([a-zA-Z0-9]*\)/mv \1\.\2 \1\.\_\2/g"


--------------------------------------------------------------------------------


0.0.0.52 어제 날짜 구하기
$ date -v-1d "+%Y-%m-%d"  [컴퓨터분류]

0.0.0.53 원하지 않는 사용자 죽이기
[root@dream /root]# skill -KILL sunny  
위의 명령을 내리면 sunny 라는 사용자를 완전히 추방시킬수 있습니다. 그런데 이렇게 완전히 추방시키는게 아니구, 특정 터미널에 접속해있는 사용자만 추방시켜야 할 때도 있겠죠? 그럴때는 [root@dream /root]# skill -KILL -v pts/14  

이런식으로 하면 된다 그럼 pts/14 에 연결되어 있는 사용자가 죽게 됩니다.

0.0.0.54 UNIX상에서 한글출력이 깨져 나올경우
유닉스상에서 한글을 stdout출력할 경우 가끔 출력되는 문자들이 몽땅 깨져서 나오는 경우가 있다. 이때부터는 프로그램이 종료된 이후에도 쉘 프람프트를 비롯, 쉘에서 입력하는 모든 커맨드가 깨져서 나온다. 이는 ascii code 로 ^n 에 해당하는 문자가 출력될 때 나오는 현상으로 그 이후로는 MSB가 모두 켜지기 때문이다. 문자가 깨져나오는 이후부터 ascii code 로 ^o 에 해당하는 문자를 출력하면 반대로 된다. 쉘 커맨드 상에서라면, # echo ^v^o  
라고 해야겠지만 커맨드가 깨져나오므로 shell이 해석을 못한다. 따라서, command line에서 ^v^o를 치고 enter 하면 된다


0.0.0.55 현재 디렉토리의 대량의 파일을 각자의 파일명가운데에 특정문자 추가하여 바꾸기
/bin/ls A?????.html | sed 's/A\(.....\)\.html/\1/g' | xargs -t -i mv 'A{}.html' 'A0{}.html'
/bin/ls는 ls가 보통 -F로 파일 종류 표시(*, @등)까지 하기 때문에 그걸 막기 위한 것이고 xargs의 -t는 트레이스모드이다.
출처 : http://cafe.naver.com/itsworld/56

댓글을 달아 주세요

  1. Favicon of http://kamzi.com/blog BlogIcon Uni 2007.02.22 14:05 신고 Address Modify/Delete Reply

    나온김에 리눅스 마스터 자격 갱신도 하구..ㅡㅡ;; 에혀..답답하다아~


  2. 추카추카 2007.02.23 10:58 신고 Address Modify/Delete Reply

    자격갱신시험통과를 축하드립니다~


C:\>dir/p/w
디스크의 파일과 디렉토리를 한 화면씩 가로목록 형식으로 출력하는 명령어이다.

C:\>sys a:
3.5 디스켓을 넣고 부팅 가능하게 시스템 파일을A드라이브에 전송하라는 명령어이다. 만약 윈도우 98사용자라면 c:\windows\comand\ebd\폴더에 있는 파일을 전부 디스켓에 복사 하면 된다.

C:\DOS>copy .d:
C드라이브에 있는 DOS디렉토리의 모든파일(*.*과 같음)을 D드라이브에 카피하라는 명령어이다.

C:\>xcopy . d: /s
하드카피와 비슷한 명령어로 C드라이브에 있는 디렉토리와 파일들을 D드라이브로 복사한다는 명령어 이다.

C:\>diskcopy a: a:
A드라이브의 플로피 디스크의 내용을 다른 플로피 디스크에 똑 같이 복사할 때 사용하는 명령어 이다.

C:\>move sys.com d:\win
C드라이브에 있는 SYS.COM이라는 파일을 D드라이브에 있는 win디렉토리에 이동시킨다는 말이다.

C:\>ren kkn.txt kim.doc
파일의 이름을 kkn.txt에서 kim.doc로 바꾼다는 명령어 이다.

C:\>del . /P
C드라이브에 있는 루트 파일들을 확인 절차를 한후 전부 지운다는 명령어이다.

C:\>deltree windows
C드라이브의 windows디렉토리의 하위 폴더까지 전부 삭제하는 명령어다.

C:\>undelete command.com
지워진 command.com이라는 파일을 복구하라는 명령어이다.(도스에서 사용하고 윈도우 9x부터는 휴지통의 개념을 사용한다)

C:\>edit autoexec.bat
autoexec.bat 파일의 편집을 하기위한 명령어이다.

C:\>cd windows
windows디렉토리로 체인지 할 때 사용하는 명령어이다.

C:\>md 게임방
게임방 이라는 디렉토리를 만들려고 할 때 사용하는 명령어이다.

C:\>doskey
매크로를 만들 때 사용하는 명령어로서 그전에 입력했던 명령어를 화살표키로 출력시킬 수 있다.

C:\>fdisk
도스를 사용할 수 있도록 하드디스크의 파티션을 설정합니다.

C:\>format c: /q/s
하드디스크를 빠른 포맷하고 시스템파일을 복사하라는 명령어 이다.

C:\>chkdsk c: /f
C드라이브를 검사하여 오류가 있으면 수정하라는 명령어 이다.

C:\>scandisk /all
모든 지역 드라이브를 검사하고 오류가 있으면 수정하라는 명령어이다.

C:\>attrib -r -s -h msdos.sys
msdos.sys라는 파일의 숨김속성을 읽기,시스템파일속성,숨김파일 속성을 지정할 때 사용하는 명령어 이다.

C:\>attrib +r +s +h msdos.sys
msdos.sys라는 파일의 숨김속성을 읽기,시스템파일속성,숨김파일 속성을 해제 할 때 사용하는 명령어 이다.

C:\>mshbios /u 또는 hbios /u
한글 바이오스를 메모리에서 삭제하라는 명령어 이다.

C:\>nlsfunc
국가별 정보를 로드할 때 사용하며 이 키가 autoexec.bat파일에 지정이 안되있으면 국가별 언어코드가 전환되지 않는다. 만약 국가별 코드전환이 안되면 autoexec.bat에 loadhigh c:\windows\ command\nlsfunc.exe c:\windows\country.sys라는 항목이 설정되어있는지 확인한다.

C:\>mem /c/p
시스템의 사용 중인 메모리와 사용할 수 있는 메모리 양을 유형별로 한페이지씩 보여 주는 명령어 이다.

※컴퓨터가 부팅되는 동안 도스가 수행하는 동작

ⓐ 본체에 전원을 넣는다
ⓑ 하드웨어 테스트 를 거친다(롬바이오스를 통해서)
ⓒ MSDOS.SYS , IO.SYS , COMMAND.COM시스템파일이 실행된다
ⓓ CONFIG.SYS 파일을 참고하여 시스템 환경설정 루틴을 실행한다.
ⓔ AUTOEXEC.BAT파일 내용을 실행한다.(파일에 관련된 정보)
ⓕ 도스가 실행되고 프롬프트가 나타난다.

'STUDY > ㄴ ETC' 카테고리의 다른 글

Vmware wirkstation5_solaris9 설치  (0) 2007.03.25
스폴러 에러??  (0) 2007.03.05
꼭 알아야 할 도스 명령  (0) 2007.02.22
IE에서 blink tag를 가능하게..  (0) 2007.02.21
WindowsXP 레지스트리 파일의 물리적인 조각모음  (0) 2007.02.07
spoolsv.exe??  (1) 2007.02.02

댓글을 달아 주세요


At a Glance:
  • 일반 GPO 문제
  • 그룹 정책 규칙
  • GPO 문제 해결
  • 문제 해결 도구

Microsoft Active Directory는 수많은 IT 인프라의 중요한 구성 요소가 되어 왔습니다. Active Directory의 가장 중요한 기능 중 하나는 그룹 정책으로, 이를 통해 관리자는 도메인 컨트롤러, 구성원 서버 및 데스크톱을 중앙 집중 방식으로 관리할 수 있습니다.

그룹 정책은 분명히 여러 가지 장점을 제공하지만 한 가지 작은 단점도 있습니다. 대규모 조직에서 설계 및 구현이 복잡할 수 있으며 문제가 발생할 경우 이를 해결하기 어렵습니다. 이 문서에서는 그룹 정책 구성 방법과 그룹 정책 문제를 해결하는 방법을 살펴보겠습니다. 이 문서를 읽고 나면 거의 모든 그룹 정책 문제를 해결하는 데 필요한 방법을 모두 알게 될 것입니다.


문제가 되는 설정

그룹 정책에는 가변적인 요소가 많이 있으며, 특히 전체 Active Directory® 설계 및 구현과 상호 작용하는 방식과 관련해서는 더욱 그러합니다. 여러 가지 유형의 액세스 및 네트워크 문제를 해결하기 위한 방법을 찾을 때 Active Directory와 그룹 정책 구현의 기본 사항을 항상 염두에 두어야 합니다. 그룹 정책 문제 해결을 위해 잘못 구성되었을 수 있는 그룹 정책 설정부터 살펴본 다음 그룹 정책 오작동을 일으킬 수 있는 보다 복잡한 문제를 검토해 보겠습니다.

그룹 정책 설정은 Active Directory 관리자가 관리 템플릿 파일(ADM 또는 ADMX 파일) 및 그룹 정책 개체 편집기나 GPEdit(gpedit.msc를 실행하여 시작됨)를 사용하여 확인할 수 있습니다. 관리자는 GPEdit를 사용하여 GPO(그룹 정책 개체) 파일 또는 GPO를 만듭니다. GPO는 Active Directory 구조 내에서 컴퓨터와 사용자에게 적용되거나 적용되지 않도록 구성됩니다. 제대로 작동하기 위해 GPO가 따라야 할 몇 가지 규칙이 있는데 지금부터 이 규칙을 살펴보겠습니다.

GPO를 연결해야 함  GPO를 새로 만들 경우 이 GPO가 Active Directory 내의 노드에 연결되지 않을 수 있습니다. GPO를 편집하거나 수정해도 이 GPO가 노드에 연결될 때까지는 개체에 영향을 주지 않습니다. GPO가 제대로 연결되었는지 확인하려면 그림 1에 나와 있는 GPMC(그룹 정책 관리 콘솔) 정보 창을 확인하십시오.

그림 1 명확하게 표시된 GPO 링크
그림 1 명확하게 표시된 GPO 링크 (Click the image for a smaller view)

GPO는 올바른 개체를 대상으로 해야 함  이미 알고 있듯이 그룹 정책은 Active Directory의 올바른 개체를 대상으로 해야 합니다. 그러나 문제 해결 과정에서 이 사항을 간과하는 경우가 종종 있습니다. GPO 내에는 컴퓨터와 사용자라는 두 개의 주요 범주가 있습니다. GPO를 구성할 때는 GPO가 컴퓨터 개체용인지, 아니면 사용자 개체용인지 주의해야 합니다. 그래야 GPO가 연결된 OU(조직 구성 단위)에 올바른 개체 유형이 배치되었는지 확인할 수 있습니다.

GPO는 그룹에 적용되지 않음  GPO는 Active Directory 보안 그룹 개체에 적용할 수 없습니다. GPO 설정에서 구성할 수 있는 단 두 가지 개체는 컴퓨터와 사용자입니다. GPO는 그룹 구성원을 통해 개체를 구성할 수 없습니다. 예를 들어 그림 2와 같이 GPO가 Finance OU에 연결되어 있는 경우 이 설정의 영향을 받게 되는 유일한 개체는 Derek과 Frank뿐입니다. GPO의 설정은 Marketing 그룹의 구성원 자격이 누구에게 있든 이 그룹의 구성원에게는 영향을 주지 않습니다.

그림 2 Finance OU와 그 내부 개체
그림 2 Finance OU와 그 내부 개체 (Click the image for a smaller view)

대상 개체는 GPO 경로에 있어야 함  GPO 설정이 개체에 영향을 주지 않는다는 점과 더불어 염두에 두어야 할 다른 중요 설정 하나는 개체가 GPO의 SOM(관리 범위) 내에 있어야 한다는 것입니다. 즉, 개체는 GPO가 연결된 노드나 자식 노드에 있어야 합니다. 예를 들어 그림 3처럼 Marketing OU의 어떠한 개체도 Finance OU에 연결된 GPO의 영향을 받지 않습니다. GPO의 SOM은 GPO가 연결된 노드에서 시작하여 Active Directory 구조 전체에 적용됩니다.

그림 3 OU가 같은 수준에 있을 경우 GPO는 연결되어 있는 OU에만 적용됨
그림 3 OU가 같은 수준에 있을 경우 GPO는 연결되어 있는 OU에만 적용됨 (Click the image for a smaller view)

GPO를 활성화해야 함  GPO를 생성할 때 GPO는 대상 개체를 수정하도록 구성되지 않습니다. 그러나 컴퓨터와 사용자 부분 모두에 대해 활성화되어 있습니다. 이러한 부분 중 하나가 비활성화된 경우 이를 추적하기가 어려울 수 있습니다. 따라서 적용되지 않는 GPO 문제를 해결할 경우에는 GPO의 일부 또는 전체가 비활성화되었는지 확인하는 것이 좋습니다. 이를 위해서는 GPMC의 그룹 정책 개체 | 계정 정책에서 GPO 상태를 확인하면 됩니다.

일부 설정을 적용하려면 다시 부팅해야 함  GPO 설정이 제대로 작동하지 않을 경우 이는 GPO의 고유한 처리 방식 때문일 수 있습니다. GPO 백그라운드 새로 고침이 정기적으로 트리거될 경우 GPO 설정 전체가 아닌 일부만 처리될 수 있습니다. 따라서 설정을 만들었어도 해당 설정이 아직 적용되지 않았을 수 있습니다. 포그라운드 정책으로 분류되는 몇 가지 설정이 있는데, 이러한 설정은 컴퓨터를 다시 부팅하거나 사용자가 로그 오프한 후 다시 로그인하는 경우에만 적용됩니다. 이와 같은 방식으로 작동하는 설정으로는 소프트웨어 설치, 폴더 리디렉션 및 스크립트 응용 프로그램이 있습니다.


설정의 동기식 및 비동기식 적용

GPO 내에서 부팅할 때와 로그온할 때 정책이 적용되는 방식을 구성할 수 있습니다. 정책이 적용되고 있는 동안에 데스크톱에 즉시 액세스하도록 하거나 모든 정책이 적용된 후 데스크톱에 액세스하도록 변경할 수 있습니다. 그림 4는 각 운영 체제의 기본 동작을 보여 줍니다. 이 동작을 변경하려는 경우 다음과 같은 정책 설정을 수정할 수 있습니다.

Computer Configuration | Administrative Templates | 
System | Logon | Always wait for the network at computer startup and logon 

대부분의 관리자는 모든 정책이 적용된 후 사용자가 데스크톱에 액세스할 수 있도록 정책을 동기식으로 적용하는 것을 선호합니다. 이 경우 사용자가 작업을 수행하기 전에 모든 보안 및 구성 설정이 적용됩니다. 그러나 이것은 로그온 속도 향상을 위해 최적화된 Windows® XP Professional의 기본 상태가 아닙니다.


기본 상속 변경

GPO 처리의 기본 상속을 변경하는 데 사용할 수 방법에는 네 가지가 있습니다. 이러한 옵션은 그 영향력이 강력하고 그룹 정책 처리 동작을 크게 변경할 수 있으므로 가급적 사용을 자제해야 합니다. 이러한 옵션은 문제를 해결하기도 매우 어렵습니다. 기본 상속을 변경하는 옵션에는 다음 네 가지 설정과 구성이 포함됩니다.

  • 정책의 상속을 금지
  • GPO 적용
  • ACL(액세스 제어 목록)에 대한 GPO 필터링
  • WMI(Windows Management Instrumentation) 필터

이러한 설정은 제한적으로 사용해야 하므로 언제 사용되는지 쉽게 문서화할 수 있습니다. 이러한 옵션의 사용 여부는 GPMC에서 확인할 수 있습니다. 상속 금지는 GPMC의 도메인 또는 OU(조직 구성 단위) 노드에서 수행되고, GPO 적용, ACL 필터링 및 WMI 필터링은 각 GPO에서 설정됩니다.

또는 대상 컴퓨터에서 Gpresult 명령을 실행하여 이러한 설정이 정책 적용을 금지하고 있는지 알 수 있습니다. 정책 적용 결과를 보다 자세히 표시하려면 Gpresult 명령에 /v 스위치를 추가하십시오. 그러면 결과가 자세히 표시됩니다.


ADM 템플릿 문제

관리 템플릿 섹션에서 GPO 설정을 구성하려고 하는 경우 ADM 템플릿을 사용하고 있는 것입니다. 운영 체제와 함께 제공되는 ADM 템플릿 외에도 GPO에 사용할 고유한 템플릿을 사용자 지정할 수 있습니다. ADM 템플릿의 코드는 그룹 개체 편집기의 관리 템플릿 노드 아래에 폴더와 정책을 만듭니다. 그러나 ADM 템플릿이 손상 또는 누락되거나 제대로 구성되지 않은 경우 편집기에 설정의 일부 또는 전체가 표시되지 않을 수 있습니다. 다음은 ADM 템플릿을 사용할 때 주의해야 할 몇 가지 다른 문제입니다.

ADM 템플릿 누락  GPO를 편집할 때 사용자 지정 ADM 템플릿의 일부 설정이 편집기에 표시되지 않을 경우 ADM 템플릿을 GPO로 가져와야 합니다. 이를 위해서는 편집기에서 관리 템플릿 노드를 마우스 오른쪽 단추로 클릭하고 템플릿 추가/제거를 선택하면 됩니다.

기본 설정 누락  사용자 지정 GPO에서 만들 수 있는 두 가지 설정 유형에는 기본 설정과 정책이 있습니다. 정책은 레지스트리에서 네 개의 하위 키 중 하나로 분류되는 기본 Microsoft 설정으로, "Policies"라는 텍스트로 끝납니다. 기본 설정은 네 개의 하위 키 중 하나로 분류되지 않는 "이전 스타일"의 레지스트리 수정 사항으로 한 번 구성되면 되돌리기 어렵습니다. 이러한 기본 설정은 기본적으로 편집기에 표시되지 않습니다. 따라서 도구 모음의 보기 메뉴를 사용하여 기본 설정이 표시되도록 해야 합니다. 이 메뉴에서 필터링을 선택한 다음 "완전히 관리가 가능한 정책 설정만 표시" 확인란을 선택하십시오. 그러면 가져온 사용자 지정 ADM 템플릿에 구성되어 있는 기본 설정이 즉시 표시됩니다.


편리한 도구

그룹 정책 문제를 추적하는 데 도움이 되는 여러 가지 도구가 있습니다. 운영 체제에 포함되어 있는 도구도 있고 다운로드하여 설치할 수 있는 도구도 있습니다. 다음으로 자신의 작업에 알맞은 도구를 선택할 수 있도록 적절한 도구에 대해 설명하겠습니다.

Dcgpofix  두 개의 기본 GPO인 기본 도메인 정책과 기본 도메인 컨트롤러 정책 중 하나에서 문제가 발생할 수 있습니다. 이 중 하나 둘 모두 손상되었는데 구성이 어려워 이를 해결할 수 없거나 다른 알 수 없는 문제가 발생한 경우 dcgpofix 도구를 사용하여 GPO를 기본 상태로 되돌릴 수 있습니다. 이 도구는 Windows Server® 2003에 포함되어 있으며 Windows 2000 도메인 컨트롤러에서는 이 도구 대신 Recreatedefpol을 사용해야 합니다. 이 도구를 사용하면 사용자 지정된 설정은 모두 손실됩니다.

Recreatedefpol  이 도구는 Dcgpofix와 비슷하지만 Windows 2000 서버용이며 두 개의 기본 GPO를 새로 설치된 상태로 되돌릴 수 있습니다. 이 도구는 일상적인 GPO 유지 관리용이 아니라 재해 복구용으로만 사용해야 하며, 다운로드(영문) 가능합니다.

이벤트 뷰어  이벤트 뷰어에는 그룹 정책과 관련된 다양한 정보가 포함되어 있습니다. 그러나 그룹 정책에 대한 항목을 찾으려면 여러 로그 파일을 모두 살펴봐야 합니다. 이벤트 뷰어에서는 정책 적용, 정책 복제, 정책 새로 고침과 관련된 모든 항목을 찾을 수 있으며 이러한 항목은 모두 문제를 추적할 때 도움이 됩니다. 이벤트 로그에 있는 특정 그룹 정책 오류에 대한 정보가 충분하지 않을 수 있으며 이 경우 식별할 수 없는 오류가 나타나면 언제든지 TechNet을 검색할 수 있습니다.

Gpresult  이 도구는 대상 컴퓨터에서 로컬로만 실행할 수 있으며 RSOP(정책 결과 집합), 차단된 GPO, GPO 권한 등에 대한 정보를 제공합니다. /v 스위치와 함께 이 명령을 사용하면 컴퓨터에 영향을 주는 GPO 및 현재 로그온 세션에 연결된 사용자 계정에 대한 자세한 정보가 표시됩니다.

Gpupdate  새로운 GPO 설정을 구현하고 있거나 모든 GPO 처리가 이루어지도록 하려는 경우 Gpupdate 도구를 사용할 수 있습니다. 이 도구는 운영 체제(Windows XP 이상)와 함께 제공되는 명령줄 도구로서, 실행하면 백그라운드 새로 고침이 트리거되어 이 유형의 새로 고침에 영향을 받는 모든 GPO 설정이 적용됩니다. /force 스위치를 추가하면 마지막 새로 고침 이후로 GPO가 변경되지 않은 경우에도 모든 GPO 설정이 다시 적용됩니다. Gpresult 명령을 실행하기 전에 이 명령을 실행하면 GPO 문제를 추적하는 데 크게 도움이 됩니다.

Gpotool  GPO는 GPO가 처음으로 변경된 도메인 컨트롤러에서 다른 모든 도메인 컨트롤러로 복제되므로 복제가 실패하거나 효율적으로 수렴되지 않을 수 있습니다. 그 결과 변경 사항이 대상 컴퓨터에 일관성 없게 적용되거나 잘못 적용될 수 있습니다. Gpresult 및 RSOP와 같은 도구는 어떤 GPO가 적용되었는지 확인하는 데 도움이 되고 Gpotool은 각 도메인 컨트롤러의 GPO가 일관성이 있는지 확인하는 데 도움이 됩니다. 이 도구는 Windows Server 2003 Resource Kit(go.microsoft.com/fwlink/?LinkId=77613)에 포함되어 있습니다.

Replmon  한 도메인 컨트롤러에서 다른 도메인 컨트롤러로 수행되는 GPO 복제 문제를 해결할 때는 복제 작업을 파악하는 데 사용할 수 있는 도구를 아는 것이 중요합니다. 복제해야 할 GPO 부분이 두 개이므로 해결해야 할 부분도 두 개입니다. 첫 번째 부분은 각 도메인 컨트롤러의 SYSVOL 내용으로, 이것은 FRS(파일 복제 서비스)에 의해 제어됩니다. 복제 간격을 트리거할 수 있도록 서비스를 설정하고 해제하는 것을 제외하고는 이러한 복제를 제어하기 위해 수행할 수 있는 작업이 많지 않습니다. GPO의 두 번째 부분은 Active Directory에 저장되며 Active Directory 복제에 의해 제어됩니다. 이 복제는 Active Directory 사이트 및 서비스를 사용하여 같은 Active Directory 사이트에 있는 도메인 컨트롤러 간에 제어할 수 있습니다. 그러나 다른 Active Directory 사이트에 있는 도메인 컨트롤러 간에 복제를 트리거해야 하는 경우에는 Replmon과 같은 도구를 사용해야 합니다. Replmon은 사이트 간에 Active Directory 데이터베이스를 강제로 복제할 수 있지만 Active Directory 사이트 및 서비스는 그럴 수 없습니다. 따라서 Active Directory에 저장된 그룹 정책 정보에 일치하지 않는 부분이 있을 경우 Replmon으로 복제 프로세스를 트리거하여 해당 정보를 각 도메인 컨트롤러에 가져올 수 있습니다. Replmon은 Resource Kit 및 Windows XP 지원 도구에 포함되어 있으며 go.microsoft.com/fwlink/?LinkId=77614에서 다운로드할 수 있습니다.

RSOP  명령줄 도구 Gpresult와 매우 유사한 RSOP는 모든 GPO에 의해 적용된 설정을 확인할 수 있는 그래픽 인터페이스를 제공합니다. RSOP.MSC는 Windows XP Professional 및 Windows Server 2003에서 기본적으로 제공되는 도구로서, 그림 5와 같이 적용된 모든 정책 설정의 결과를 그룹 정책 개체 편집기와 비슷한 형식으로 제공합니다.

그림 5 정책 결과 집합 도구
그림 5 정책 결과 집합 도구


요약

그룹 정책 문제를 해결하는 것은 결코 만만한 작업이 아닙니다. 실제로 이 문서에서 설명한 것처럼 그룹 정책은 상당히 복잡할 수 있습니다. 문제 해결을 위해 그룹 정책에 접근할 경우 그룹 정책의 핵심 구조와 전반적인 프로세싱을 이해해야 합니다. 또한 GPO의 업데이트, 복제, 처리 및 적용 방식도 이해해야 합니다. 이러한 개념을 잘 알고 있다면 특정 그룹 정책 문제를 해결하는 것이 한결 쉬워질 수 있습니다. 이 문서에 설명된 지침에 따라 도구를 적절하게 사용하면 발생할 수 있는 모든 그룹 정책 문제를 해결할 수 있습니다.



Derek Melber는 Microsoft 자회사인 DesktopStandard의 교육, 인증 및 컴플라이언스 솔루션 담당 이사이자 Microsoft Windows Group Policy Guide(Microsoft Press, 2005)의 공동 저자로서, Windows 보안 감사에 대한 여러 권의 책을 저술했습니다(www.theiia.org). 문의 사항이 있으면 derekm@desktopstandard.com으로 연락하시면 됩니다.

댓글을 달아 주세요

At a Glance:
  • Active Directory 관리 팩
  • MOM을 위한 사용자 지정 팁
  • 경고 조정

관리 팩은 Microsoft Operations Manager(MOM) 2005의 핵심 요소로서, MOM 2005를 여타 관리 제품과 구분 짓는 이유이기도 합니다. 관리 팩을 통해 규칙, 보고서, 작업 및 보기를 한 곳에 통합하는 MOM은 특정 응용 프로그램이나 Active Directory 같은 서비스에 제한하여 사용할 수도 있습니다.

Microsoft 제품 팀은 응용 프로그램을 개발할 때 관리 팩도 만들어 MOM에 제품 팀의 상세한 제품 지식이 반영되도록 합니다. 관리 팩은 고유한 IT 환경에 맞게 사용자 지정할 수도 있습니다. 이렇게 하면 특정 서버 및 응용 프로그램 환경을 기반으로 해당 제품을 관리하고 모니터링하는 규칙이 만들어집니다.

Active Directory®용의 특정 관리 팩 이외에도 Windows Server® Base Operating System, DHCP(Dynamic Host Configuration Protocol), DNS, FRS(파일 복제 서비스) 등의 디렉터리 서비스 상태를 모니터링하는 여러 가지 관리 팩이 있습니다. MOM을 통해 Active Directory를 완벽하게 관리하는 방법을 명확히 이해할 수 있도록 이러한 관리 팩을 보다 자세히 살펴보겠습니다.


DHCP 관리 팩

DHCP 서비스 관리 팩은 Windows NT®, Windows® 2000 및 Windows Server 2003에서 실행되는 DHCP 서비스를 모니터링합니다. DHCP를 모니터링하면 클라이언트에게 네트워크 연결 문제가 있는지 확인할 수 있고, 해당 환경에서 실행되는 무단 DHCP 서버를 가려낼 수도 있습니다. 이 관리 팩의 다운로드 패키지에는 모니터링 시나리오, 배포, 규칙 및 보고서에 관한 가이드가 포함되어 있습니다. 추가 설명서 및 지침은 TechNet MOM 2005 웹 사이트(microsoft.com/technet/prodtechnol/mom/mom2005)(영문)에서 확인할 수 있습니다.

DHCP 서비스가 실행되는 Windows가 최신 버전일수록 관리 작업에 사용할 수 있는 MOM 2005의 도구와 기능이 많아집니다. 따라서 Windows NT DHCP 서버보다는 Windows Server 2003 DHCP 서버에 대해 더 많은 정보를 얻을 수 있는 것입니다. 예를 들어 Windows Server 2003에서 실행되는 DHCP 서버의 경우 대범위 모니터링이 가능한 반면, Windows 2000 DHCP 서버에서는 DHCP 관리 팩이 일반 범위에 대해서만 모니터링합니다. 모니터링 스크립트의 매개 변수로 제외 범위를 지정하면 일부 범위를 모니터링에서 제외할 수도 있습니다.

앞서 언급했듯이 DHCP 관리 팩은 Windows NT, Windows 2000 Server 및 Windows Server 2003에서 실행되는 DHCP 서버를 지원합니다. 컴퓨터 그룹은 해당 운영 체제 버전 및 서버가 DHCP 서버 서비스를 호스트하는지 여부를 사용하는 수식을 통해 채워집니다.

DHCP 관리 팩은 낮은 권한 수준의 구성을 지원하지 않으며, 에이전트 작업 계정은 로컬 Administrators 그룹의 구성원이어야 합니다. 또한 에이전트 없는 모니터링이 지원되기는 하지만 작업은 에이전트 없는 구성에서 지원되지 않습니다. 그림 1은 DHCP 관리 팩에서 사용할 수 있는 보고서를 보여 줍니다.

DHCP 관리 팩은 go.microsoft.com/fwlink/?LinkId=79527(영문)에서 다운로드할 수 있습니다.


DNS 관리 팩

DNS(도메인 이름 서비스) 관리 팩은 Windows 2000 Server 및 Windows Server 2003에서 실행되는 DNS 서비스를 모니터링합니다. DNS 관리 팩은 Active Directory의 전체 구현 상태를 모니터링하는 데 없어서는 안 될 부분이므로 MOM 2005를 사용하여 DNS를 모니터링하는 것은 매우 중요합니다. 이 DNS 관리 팩은 이름 확인 문제, 데이터베이스 문제, 레지스트리 문제, 런타임 이벤트 및 오류, 관련 성능 카운터 등을 모니터링합니다.

Windows 2000 Server의 경우 WMI(Windows Management Instrumentation) DNS 공급자를 설치해야 합니다. 그러면 DNS 관리 팩이 정보 및 테스트를 위해 WMI DNS 네임스페이스를 쿼리할 수 있습니다.

컴퓨터 그룹은 해당 운영 체제 버전 및 서버가 그룹 구성원을 확인하기 위해 DHCP 서버 서비스를 호스트하는지 여부를 사용하는 수식을 통해 채워집니다. DNS 관리 팩은 Windows Server 2003에서만 낮은 권한 수준을 지원합니다. Windows 2000에서 작업 계정은 로컬 Administrators 그룹의 구성원이어야 하고, Windows Server 2003에서는 작업 계정이 로컬 Users 및 Performance Monitor Users 그룹의 구성원이어야 합니다. 또한 작업 계정에는 감사 및 보안 로그 관리(SeSecurityPrivilege) 권한과 로컬 로그온 허용(SeInteractiveLogonRight) 권한이 있어야 합니다. 그림 2는 DNS 관리 팩에서 사용할 수 있는 보고서를 보여 줍니다.

Microsoft® Systems Management Server(SMS)의 MVP인 Marcus Oh는 nslookup을 호출하여 DNS 서버의 이름 확인 기능을 검증하는 DNS 서버 테스트 스크립트를 개발했습니다. Marcus의 블로그(marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html)(영문)에서 내용을 살펴보면 당장 이 스크립트를 DNS 관리 팩에 통합하고 싶어질 것입니다.

DNS 관리 팩은 go.microsoft.com/fwlink/?LinkId=79528(영문)에서 다운로드할 수 있습니다.


FRS 관리 팩

Windows FRS(파일 복제 서비스) 관리 팩은 Windows 2000 및 Windows Server 2003에서 실행되는 FRS 서비스를 모니터링합니다. FRS는 도메인 컨트롤러가 로그온 스크립트와 그룹 정책 정보를 복제하는 데 사용합니다. FRS 관리 팩은 각 도메인 컨트롤러의 FRS 서비스 상태를 자세히 모니터링합니다.

FRS 관리 팩은 go.microsoft.com/fwlink/?LinkId=79529(영문)에서 제공되는 Ultrasound 도구를 사용합니다. 각 도메인 컨트롤러에 FRS를 위한 WMI 네임스페이스를 생성하는 이 Ultrasound는 데이터베이스를 필요로 하며 상태 모니터링을 위해 WMI 네임스페이스 정보를 각 도메인 컨트롤러에 저장합니다. FRS 관리 팩은 Ultrasound의 수집 정보를 사용하여 복제 세트, 구성원, 연결, FRS 서비스 자체 및 Ultrasound 컨트롤러 서비스를 모니터링합니다.

사실 Ultrasound는 관리 서버와 다른 별도의 서버에 설치해야 합니다. Ultrasound 규칙은 다른 컴퓨터를 대신하여 이벤트와 경고를 작성합니다. Ultrasound 규칙이 데이터를 제대로 처리하도록 하려면 Ultrasound가 실행되는 각 서버의 MOM 관리자 콘솔에서 에이전트 프록시를 설정해야 합니다. 그림 3은 FRS 관리 팩에서 사용할 수 있는 네 가지 서비스 보고서를 보여 줍니다.

이 관리 팩과 연관된 컴퓨터 그룹에는 Windows 2000 Server 및 Windows Server 2003에서 실행되는 Microsoft Ultrasound 1.0 서버와 FRS 서버가 포함됩니다. 컴퓨터 그룹은 해당 운영 체제 버전 및 서버가 그룹 구성원을 확인하기 위해 FRS 서비스를 호스트하는지 여부를 사용하는 수식을 통해 채워집니다. Ultrasound Servers 그룹은 서버에 Ultrasound가 설치될 때 구성됩니다.

낮은 권한 수준에 대해 FRS 관리 팩을 구성하는 경우 작업은 수행되지 않지만 관리 팩의 나머지 기능은 지원됩니다. 작업 계정에는 Ultrasound 데이터베이스에 대한 읽기 권한과 GetControllerStatusForMOM001 저장 프로시저에 대한 실행 권한이 있어야 합니다. FRS 관리 팩은 에이전트 관리 컴퓨터는 물론 에이전트 없는 컴퓨터에 대해서도 모니터링 지원을 제공합니다.

FRS 관리 팩은 go.microsoft.com/fwlink/?LinkId=79530(영문)에서 다운로드할 수 있습니다.


Windows 서버 관리 팩

Windows Base Operating System 관리 팩은 Windows NT 4.0 Server, Windows 2000 Server 및 Windows Server 2003을 모니터링합니다. 이 Base OS 관리 팩은 도메인 컨트롤러를 위한 운영 체제의 상태를 보고하고 해당 시스템의 루트 서비스도 모니터링합니다. 이 관리 팩은 또한 핵심 Windows 서비스의 상태, 메모리 및 프로세서 성능, 디스크 여유 공간, 디스크 대기 시간 등도 알려 줍니다. 이 관리 팩과 이 문서에서 다루는 다른 관리 팩의 모니터링 규칙에는 중복되는 부분이 있지만 이러한 정보는 도메인 컨트롤러 상태를 자세히 검토하는 데 매우 유용합니다.

그림 4는 Base OS 관리 팩에서 사용할 수 있는 보고서를 보여 줍니다. 다른 관리 팩과 마찬가지로 컴퓨터 그룹은 해당 운영 체제 버전을 사용하는 수식을 통해 구성됩니다.

낮은 권한 수준의 작업에 대해 Base OS 관리 팩을 구성하는 경우 Windows 2000에서는 작업 계정이 로컬 Administrators 그룹의 구성원이어야 합니다. Windows Server 2003에서는 작업 계정이 로컬 Users 및 Performance Monitor Users 그룹의 구성원이어야 하고 감사 및 보안 로그 관리(SeSecurityPrivilege) 권한과 로컬 로그온 허용(SeInteractiveLog-onRight) 권한이 있어야 합니다. 작업을 제외한 Base OS 관리 팩의 기능 대부분은 에이전트 없는 모니터링 대상 컴퓨터에서 지원됩니다.

Base OS 관리 팩은 go.microsoft.com/fwlink/?LinkId=79531(영문)에서 다운로드할 수 있습니다.


Active Directory 관리 팩

Active Directory 관리 팩은 매우 광범위하며 그 규칙이 Windows 2000 Server와 Windows Server 2003에 모두 적용됩니다. 이 Active Directory 관리 팩에는 클라이언트 쪽 모니터링, 트러스트 모니터링, 복제 모니터링, 토폴로지 검색, Windows 2000 Server와 Windows Server 2003 운영 체제에 적용되는 규칙 등 모두 다섯 가지 영역의 규칙이 포함되어 있습니다. 앞에서도 언급했듯이 Windows가 최신 버전일수록 사용 가능한 도구가 많아지므로 보다 자세한 모니터링이 가능합니다. 예를 들어 이 관리 팩은 Windows Server 2003에서 트러스트 모니터링을 지원하지만 Windows 2000에서는 지원하지 않습니다.

Active Directory 관리 팩은 여러 그룹을 생성하여 특정 컴퓨터에 규칙을 적용하는 데 사용합니다. 클라이언트 쪽 모니터링 규칙은 Active Directory Client Side Monitoring이라는 그룹을 사용합니다. MOM 에이전트가 설치된 컴퓨터를 이 그룹에 지정하여 이러한 규칙을 모니터링하고 관리할 수 있습니다. 필자는 일부 Exchange 서버 외에도 에이전트로 라이선스를 받은 몇몇 데스크톱 컴퓨터를 이 그룹에 지정했습니다. Exchange 서버는 Active Directory를 광범위하게 사용하면서 문제 발생을 알려 주는 주요 표시기 역할을 합니다. 이 그룹의 데스크톱 컴퓨터는 최종 사용자 만족도를 평가하는 데 유용할 수 있습니다. 클라이언트 쪽 모니터링 규칙은 스크립트를 사용하여 도메인 컨트롤러에 대한 연결을 테스트하며 LDAP를 통해 쿼리하고 오류를 보고합니다. 이때 프록시는 설정되어 있지만 도메인 컨트롤러가 아닌 에이전트 관리 컴퓨터에만 클라이언트 쪽 모니터링 규칙을 적용할 수 있다는 점에 유의해야 합니다.

트러스트 모니터링 규칙은 Active Directory Trust Monitoring이라는 그룹을 사용합니다. Windows Servers 2003 컴퓨터는 이 그룹에 지정되어 트러스트를 테스트합니다. Windows Server 2003에는 트러스트 모니터링을 위해 WMI 네임스페이스가 포함되어 있습니다. 이러한 규칙은 스크립트를 사용하여 WMI 네임스페이스를 쿼리합니다. 그리고 다른 도메인의 트러스트에서 오류가 감지되면 경고를 보냅니다.

Windows 2000 Server 또는 Windows Server 2003에 적용되는 Active Directory 관리 팩 규칙은 많습니다. 이러한 규칙은 이 두 운영 체제의 Active Directory 구현 방식에 나타나는 차이점을 자세히 보여 줍니다. 그러나 대부분의 Active Directory 관리 팩은 두 운영 체제 모두에 결합형 규칙을 적용합니다. 이러한 규칙 중 일부에는 스크립트가 포함되어 있어 도메인 컨트롤러 간의 연결을 테스트하고 FSMO(신축 단일 마스터 작업) 역할 소유자와 DIT(Directory Information Tree) 데이터베이스 크기를 확인하며 그룹 정책 처리, KCC(정보 일관성 검사) 검사, 사이트 간 메시징 서비스 테스트를 확인합니다.

복제 모니터링은 Active Directory 관리 팩의 핵심이라 할 수 있습니다. 여기서는 Active Directory Replication Latency Data 컬렉션(원본) 및 Active Directory Replication Latency Data 컬렉션(대상)의 두 그룹 덕분에 복제 모니터링 보고 전용의 도메인 컨트롤러를 구성할 수 있습니다. 복제 대기 시간은 데이터 수집 그룹의 구성원별로 계산되고, 성능 카운터는 업데이트가 각 그룹 구성원에 복제되는 데 소요된 시간으로 계산됩니다. 회사 전체의 복제 대기 시간이 지정된 임계값을 초과할 경우에는 시간이 계산되어 보고되고 경고가 생성됩니다. 복제 모니터링을 위한 WMI 네임스페이스는 Windows 2000 Server에 설치해야 합니다.

Active Directory 관리 팩의 토폴로지 검색은 구현 다이어그램을 만드는 데 사용됩니다. 이러한 유용한 다이어그램은 Microsoft Office Visio®에 내보낼 수 있으며 MOM에서 실시간으로 작성할 수 있으므로 단 몇 초 만에 최신 버전을 만들 수 있습니다.

MOM 2005 운영자 콘솔의 다이어그램 보기에는 세 가지 Active Directory 관리 팩 다이어그램이 들어 있습니다. 우선 Broken Connection Objects(끊긴 연결 개체) 다이어그램(그림 5 참조)에는 오류 상태의 모든 연결이 표시됩니다. 연결 오류가 없으면 이 다이어그램은 비어 있습니다.

그림 5 다이어그램 보기에서 강조 표시된 끊긴 연결
그림 5 다이어그램 보기에서 강조 표시된 끊긴 연결

Connection Objects(연결 개체) 다이어그램은 DC 간의 연결을 강조 표시합니다. 그리고 Site Links(사이트 링크) 다이어그램은 사이트의 해당 도메인 컨트롤러와 연결 사이트 링크를 포함하여 각 Active Directory 사이트를 보여 줍니다.

MOM이 이러한 보기에 생성한 다이어그램은 동적이므로 Visio에 내보내 간편하게 편집하고 사용자 지정할 수 있습니다. 그림 6은 Visio에서 편집 중인 Site Links(사이트 링크) 다이어그램을 보여 줍니다.

그림 7은 Active Directory 관리 팩에서 사용할 수 있는 보고서를 보여 줍니다. 이 관리 팩과 연관된 컴퓨터 그룹은 그림 8에 나와 있습니다. 여기에 나온 것처럼 Active Directory 컴퓨터 그룹은 명시적 구성원을 기반으로 구성되고, Windows 컴퓨터 그룹은 운영 체제의 버전과 시스템이 도메인 컨트롤러인지 여부에 따라 구성됩니다.

Active Directory 관리 팩은 Windows Server 2003 도메인 컨트롤러에서 낮은 권한 수준에 대해 구성할 수 있으며, 에이전트 없는 모니터링은 지원하지 않습니다. Windows 2000 Server에서 에이전트 작업 계정은 Domain Admins 또는 로컬 Administrators 그룹에 속해야 합니다. Windows Server 2003 도메인 컨트롤러의 에이전트 작업 계정에는 Users 그룹 및 Performance Monitor Users 그룹의 구성원과 이벤트 로그에 대한 액세스 권한은 물론 SeSecurityPrivilege, SeAuditPrivilege 및 SeInteractiveLogonRight 권한을 비롯하여 낮은 권한 수준에 대해 구성할 수 있는 추가 권한이 있어야 합니다. 뿐만 아니라 Active Directory에서 복제 모니터링을 수행하기 위한 CN=MomLatencyMonitors 컨테이너에 대한 모든 권한, NTDS.dit 데이터베이스와 로그 파일이 포함된 디렉터리에 대한 읽기 권한, 그리고 다음 레지스트리 키에 대한 읽기 권한도 필요합니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters

Windows Server 2003에서 트러스트를 모니터링하는 경우 AD Monitor Trusts 스크립트를 사용하려면 에이전트 작업 계정에 Domain Admin 또는 Administrators 그룹 구성원 자격이 있어야 합니다.

Active Directory 관리 팩은 go.microsoft.com/fwlink/?LinkId=79540(영문)에서 다운로드할 수 있습니다.


Active Directory에 대해 MOM 사용자 지정

Active Directory 관리 팩을 구성하지 않으면 콘솔이 경고로 가득 차게 됩니다. Active Directory 관리 팩은 도메인 컨트롤러가 다시 시작될 때 가장 활발하게 작동합니다. 이때는 가능한 모든 경고가 트리거되는 것 같습니다. 문제는 이런 경고를 중단하기가 쉽지 않다는 데 있습니다. 가장 최선의 방법은 예상된 유지 관리 창에서 MOM의 유지 관리 모드를 사용하여 이러한 경고를 제어하는 것입니다. 유지 관리 모드의 목적은 도메인 컨트롤러의 경고 메시지를 자동으로 해결하여 콘솔이 가득 차지 않도록 하는 것입니다.

그룹 내에 클라이언트 컴퓨터와 해당 서버를 적절히 배치하여 Active Directory Client Side Monitoring 그룹을 구성하는 것도 잊지 말아야 합니다. 이 그룹과 관련된 규칙은 FSMO 상태 및 이에 대한 연결을 확인하는 데 유용합니다.

임계값을 사용하여 LDAP, PING 및 DNS를 사용하는 FSMO에 바인딩함으로써 연결을 확인하는 성능 규칙이 있습니다. 이러한 규칙은 Active Directory Availability(Active Directory 가용성) 성능 규칙에 있습니다. 경고 심각도를 설정하여 이러한 규칙에 사용되는 임계값을 사용자 지정해야 합니다. 예를 들어 FSMO 바인딩은 초 단위의 특성 값을 사용합니다. 각 FSMO 역할에 대한 성능 규칙은 이 경고 생성 방법을 사용합니다.

상태 규칙의 경고 심각도 계산 설정이 작동하는 방식을 이해하는 것은 매우 중요합니다. 이 대화 상자는 특성 값에 대해 If-Else 조건문을 사용하여 적절한 경고 심각도를 설정합니다(그림 9 참조). 이 규칙은 AD Op Master Response 스크립트가 생성한 Last Bind(마지막 바인드) 성능 카운터 정보를 수집할 때 이러한 규칙에 설정된 조건 임계값과 비교하여 검사를 수행합니다. 이러한 경고 수준은 환경에 맞게 적절히 구성해야 합니다.

각 도메인 컨트롤러에 대한 복제 일정은 반드시 기억해야 합니다. 지정된 도메인 컨트롤러의 일정이 다른 컨트롤러와 다를 경우 복제 대기 시간 결과가 왜곡되어 임계값을 더 높게 설정해야 하는 결과를 초래합니다. 또한 복제 스크립트의 매개 변수를 특정 환경에 맞게 설정해야 합니다. 도메인 컨트롤러 중 하나가 작동 중단되거나 복제 문제가 발생하면 이들 그룹의 다른 모든 도메인 컨트롤러는 직접적인 복제 파트너가 아니어도 해당 도메인 컨트롤러에 대해 복제 오류를 보고할 수 있습니다. 따라서 문제의 도메인 컨트롤러를 유지 관리 모드로 지정해도 다른 도메인 컨트롤러가 복제 오류를 보고할 수 있습니다.

Active Directory 관리 팩을 조정할 때 가장 많은 노력이 필요한 부분은 복제 모니터링입니다. 몇 주 동안 관리 팩을 실행하면서 경고가 어떻게 발생하는지 확인해야 합니다. 그리고 몇몇 경향이 발견되면 보고서를 사용하여 대기 시간을 요약하고 임계값을 적절히 조정합니다.

마지막으로 Alert Tuning Solution Accelerator(영문)에 나와 있는 지침을 활용하십시오.


결론

MOM 2005 및 Active Directory 관리 팩을 통해 Active Directory 구현을 효과적이고 효율적으로 모니터링할 수 있습니다. Active Directory, DHCP, DNS, FRS 및 Windows Server Base OS 관리 팩을 사용하여 인프라의 모든 측면을 보다 철저히 모니터링하면서 Active Directory 인프라는 물론 관련 사용자들의 안전하고 편리한 사용 환경을 보장할 수 있습니다. 보고 데이터 웨어하우스에 수집된 방대한 데이터는 성능 및 이벤트 데이터를 분석하여 용량 계획 및 성능 예측을 지원하는 데 매우 유용합니다.

여기서 다룬 관리 팩을 포함하여 다양한 관리 팩을 Management Pack Catalog(영문)에서 확인할 수 있습니다.

Active Directory 관리 팩의 차후 업데이트 버전에서는 보다 유용하게 몇 가지 임계값이 수정될 것입니다. 더욱 기대되는 것은 System Center Operations Manager 2007이라는 이름의 신제품에 추가될 새로운 기능입니다. 여기에는 단일 구성 그룹에서 복수의 포리스트를 모니터링하여 다른 그룹 간의 각 예상 복제 대기 시간을 기반으로 도메인 컨트롤러 그룹을 정의하고 다음 버전의 Window Server에서 실행될 도메인 컨트롤러를 모니터링하는 기능이 포함됩니다. 자세한 내용은 MOM 웹 사이트(http://www.microsoft.com/korea/mom/default.mspx)에서 확인하십시오.



John Hann은 MOM 2000 버전부터 MOM을 사용해왔고 2004년부터 MOM MVP로 활동하고 있습니다. John은 또한 MyITForum.com, MOMCommunity.comLearnMOM.com에 글을 기고하기도 합니다. 문의 사항이 있으면 John의 블로그(영문)로 연락하시면 됩니다.

댓글을 달아 주세요

At a Glance:
  • 관리자 역할 정의
  • OU 및 보안 그룹 모델 개발
  • 보조 계정 사용
  • 권한 위임용 도구

Active Directory의 강력한 위임 기능은 다양한 보안 문제를 해결하고 관리 작업을 단순화하는 데 매우 유용합니다. Active

Directory® 내에서 적절히 권한을 위임하면 해당 환경에서 특정 역할을 강제 수행할 수 있고, 관리 상의 오류가 발생할 가능성과 그 영향을 줄일 수 있으며, 인프라 전체에 최소 권한 원칙을 적용할 수 있습니다. 그러나 Active Directory를 사용하는 많은 기업은 이 위임 기능을 제대로 활용하지 못하고 있습니다. 회사에 사용할 Active Directory 위임 모델을 개발하는 것은 일견 복잡해 보이기 때문입니다. 가장 큰 문제는 해당 조직의 고유한 상황에 맞는 위임 모델을 개발하는 것입니다. 그러나 사실 대부분의 IT 인프라에 거의 변경 없이 적용할 수 있는 매우 간단한 모델이 존재합니다.

모든 환경은 방식이나 형태에 있어 약간씩 다르긴 하지만 실제로 많은 대기업은 여러 측면에서 비슷하고 당면한 IT 문제도 같은 경우가 많습니다. 예를 들어 많은 기업은 지역별로 세분화되어 있고, 별도의 IT 엔지니어링 또는 운영 지원팀에서 발전했으며, 독립된 사업부를 갖추고 있습니다. 또한 권한 상승 문제, 서비스 계정 남용, "트러스트" 등을 처리해야 하는 대규모 기업도 많습니다.

트러스트는 Active Directory 포리스트를 여러 개 보유해야 하는 이유가 될 때가 많으며, 특정 부서나 지역이 다른 부서나 지역의 시스템 가용성에 영향을 미칠 수 있을 때 자주 문제가 발생합니다. 대부분의 경우 기술 수준은 조직 간에 다르기 때문에 특정 지역이나 사업부를 지원하는 데 필요한 특정 시스템 관련 지식이 부족할 때가 많습니다. 따라서 부서들은 대개 중앙 그룹에 관리 권한을 넘겨주지 않으려 합니다.

한편 Active Directory 구현의 경우 관리자는 Active Directory 인프라를 사용하는 응용 프로그램의 운용 규칙을 정의해야 합니다. 안타깝게도 응용 프로그램 설치 가이드에 자주 언급되는 일반적인 방법은 서비스 계정을 Domain Admins 그룹의 구성원으로 만드는 것입니다. 이런 방법의 문제는 서비스 계정이 본질적으로 일반 계정이라는 점입니다. 이러한 계정에 Domain Administrator 권한을 부여하면 IT 환경의 보안이 상당히 위험해집니다. 서비스 계정은 악의적이거나 부주의한 관리자 또는 응용 프로그램 내의 기본 보안 문제를 악용하는 공격자가 쉽게 악용할 수 있기 때문입니다.

이러한 문제는 해결하기 어려운 것으로 보일 수 있지만, Active Directory 위임 모델 구현의 좋은 시나리오가 되기도 합니다. 위임 모델의 개발은 반복 작업이 많은 디자인 프로세스로서, 다음 단계를 따르는 것이 좋습니다.

  1. 조직 내의 IT 관리자 역할 정의
  2. 조직 구성 단위 및 보안 그룹 모델 개발
  3. IT 관리자의 보조 계정 설정
  4. 권한 위임

이러한 단계를 보다 자세히 살펴보겠습니다.


역할 정의

역할을 정의하기 위해서는 우선 서비스 관리와 데이터 관리를 모두 철저히 이해해야 합니다. 이런 개념은 모든 Active Directory 위임 모델의 기초가 됩니다.

핵심을 요약하자면 서비스 관리는 Exchange 서버 및 도메인 컨트롤러와 같은 중요 디렉터리 서비스 인프라 구성 요소를 관리하는 것이고, 데이터 관리는 이러한 서비스 내에 상주하는 사서함 및 사용자 계정 등의 개체를 관리하는 것입니다. Active Directory의 범위 내에서 서비스 관리자는 디렉터리 서비스의 제공 및 가용성을 최종 책임지고, 데이터 관리자는 사용자 및 서버 계정, 그룹, 기타 도메인 리소스를 관리합니다.

Active Directory는 OU(조직 구성 단위)를 통해 정교한 권한 위임을 지원합니다. OU는 기존 디렉터리 서비스나 도메인 모델 내에서 관리자에게 제공된 것과 같은 수준의 권한을 제공하도록 자주 조정할 수 있습니다. 그러나 일부 기능은 위임이 불가능하고 확실히 신뢰할 수 있는 단일 그룹이나 엔터티가 관리해야 합니다.

작업 분석 또한 중요합니다. 즉, 관리자가 수행하는 Active Directory 작업이 무엇이고 이러한 작업이 역할에 어떻게 매핑되는지 알아야 합니다. 예를 들어 Active Directory 사이트 만들기는 서비스 관리 작업인 반면, 보안 그룹 멤버십 수정은 일반적으로 데이터 관리에 속합니다. 각 작업의 빈도, 중요도 및 난이도도 평가해야 합니다. 이러한 항목은 권한 위임 여부를 결정하기 때문에 작업 정의의 필수 요소입니다. 정기적으로 수행되는 작업, 위험 요소가 제한된 작업, 일상적인 작업 등은 위임에 적합한 대상입니다. 반면 드물게 수행되는 작업, 조직에 큰 영향을 미치는 작업, 높은 수준의 기술이 필요한 작업 등은 위임에 적합한 대상이 아닙니다. 이러한 작업에는 계정을 일시적으로 필요한 역할로 상향 조정하거나 작업을 재할당하는 에스컬레이션이 더 적합합니다.

대규모 조직은 특성이 많이 비슷하기 때문에 일반적인 위임 모델을 구현하는 것으로 간주해도 무방합니다. 본 기사의 목적에 맞게 여기서는 조직의 경계를 고려하고 트러스트 문제(예: 도메인 컨트롤러와 같은 전사적 자산의 가용성)를 완화하도록 주의하면서 관리 기능을 실행하는 일련의 샘플 역할을 제공하겠습니다. 이 모델은 단순한 예제로서, 조직 내에서 역할 논의를 시작하는 데 유용하긴 하지만 그대로 똑같이 사용해서는 안 됩니다.

일부 역할은 Active Directory에서 이미 지정되어 있지만 일부는 위임 모델을 완성하도록 처음부터 새로 만들어야 합니다. 많은 대규모 Active Directory 환경에 맞는 역할 집합의 예로는 서비스 관리의 경우 Enterprise Admins, Domain Admins, Tier4 Admins 등이 있고 데이터 관리의 경우에는 Tier3 Admins, Regional Admins, Tier2 Admins, Tier1 Admins 등이 있습니다. 이러한 역할과 해당 기능 목록이 그림 1에 나와 있습니다.


서비스 관리자

이제 서비스 관리자 역할을 자세히 살펴보도록 하겠습니다. 서비스 관리자는 중요한 인프라 구성 요소를 관리하며, 이 범주에 속한 관리자는 모두 높은 권한을 갖습니다. 따라서 작업 수행에 필요한 최소 권한 집합만 부여한다는 의미의 최소 권한 전략을 적용하는 것이 좋습니다.

Enterprise Admins 및 Domain Admins Active Directory는 디렉터리 내의 중요 기능에 필요한 보안 컨텍스트를 가진 두 개의 특수 관리자 그룹을 정의합니다. 이러한 그룹(Enterprise Admins 및 Domain Admins)은 최상위 서비스 관리를 담당합니다. 이렇게 높은 권한을 가진 그룹의 위험 요소를 줄이기 위해서는 해당 그룹의 멤버십을 제한하는 것이 좋습니다. 사실상 Enterprise Admins 그룹에는 영구 구성원이 없어야 하고 Domain Admins 그룹은 조직의 정규 직원으로 근무하는 소수의 신뢰할 수 있는 개인만 포함해야 합니다.

DHCP 서버 권한 부여 또는 Active Directory 사이트 생성과 같은 엔터프라이즈 관리 작업을 수행해야 할 경우 Active Directory 포리스트의 루트 도메인에 있는 Domain Admins는 Enterprise Admins 그룹의 멤버십을 관리하여 권한을 상승시킬 수 있습니다. 이러한 권한은 Enterprise Admins 그룹에 영구 구성원이 생기지 않도록 잠시 동안만 부여해야 합니다. 물론 특정 Active Directory 포리스트에 있는 Domain Admins 그룹의 모든 구성원은 동일하게 트러스트되어야 합니다.

대부분의 기업이 위임 모델을 개발할 때 범하기 쉬운 실수는 이러한 기본 제공 역할이 사용되지 않도록 해제하는 것입니다. 기본 역할을 수정하면 예상치 못한 결과가 초래될 수 있으며 서비스 팩 수정 버전이나 제품 업그레이드가 이러한 설정을 유지한다는 보장도 없습니다. 이러한 수정은 또한 조직 외부에 지원되지 않는 환경을 만들기도 합니다. 실용적인 방법은 기본 제공 그룹과 역할을 사용하면서 구성원을 제한하는 것입니다. 이렇게 하려면 이전에 Domain Admins과 같은 그룹의 멤버십에 의존했던 관리자에 대해 새 역할을 만들어야 할 수 있습니다.

Tier4 Admins 그룹은 모든 엔터프라이즈 서비스를 지원하는 중앙 집중식의 서비스 관리자로 구성됩니다. 이 그룹은 생성된 역할이므로 해당 조직의 특정 요구 사항에 맞게 디렉터리 서비스 및 시스템 액세스 권한을 조정할 수 있습니다. 이 그룹의 구성원은 서비스 관리자이지만 경우에 따라 포리스트 차원의 데이터 관리 작업을 수행할 수도 있습니다. Tier4 역할은 많은 시스템 클래스와 다양한 책임 영역을 보유하기 때문에 디렉터리 내에서 여러 하위 그룹으로 나뉩니다. 예를 들어 Exchange 서버와 같은 특정 시스템에 분리된 관리 작업을 제공하기 위해서는 별도의 Tier4 그룹을 만들어야 합니다. 이 그룹은 데이터 관리자의 에스컬레이션 지점 역할도 수행합니다.

사람들이 Domain Admins 그룹의 멤버십을 원하는 이유 중 하나는 특정 도메인의 모든 시스템에 대해 관리 권한을 얻기 위해서입니다. 이러한 서비스 관리자가 최소 권한 모드로 실행하도록 하려면 Domain Admins로 지정하지 않고 Tier4 Admins에 엔터프라이즈 서버 제어 권한을 부여하면 됩니다. 해당 그룹은 디렉터리 서비스에 대해 분리가 불가능한 많은 기본 권한을 가지므로 권한 상승을 방지하기 위해 Tier4 Admins에는 도메인 컨트롤러의 BUILTIN\Administrators 그룹 멤버십을 부여하면 안 됩니다. 예를 들어 특정 도메인의 BUILTIN\Administrators 그룹에 속한 구성원은 Domain Admins 그룹을 관리할 수 있기 때문에 구성원이 어떠한 견제와 균형 없이 권한을 상승하도록 허용할 수 있습니다.

기본 권한을 해제하면 안 된다는 규칙을 상기하면서 Tier4 그룹을 Server Operators 및 DNS Admins 기본 제공 도메인 그룹의 중첩 구성원으로 만들면 이런 위험을 완화할 수 있습니다. 이렇게 하면 도메인 컨트롤러를 로컬로 관리하면서 Tier4 Admins의 권한 상승 기능을 제한할 수 있습니다. Domain Controllers, Certificate Servers 등을 제외한 대다수 시스템의 경우 Tier4 Admins 그룹은 로컬 Administrators 그룹의 구성원으로 만들어야 합니다. 그룹 정책 내의 제한된 그룹 기능을 사용하면 중첩 로컬 그룹 멤버십을 자동화할 수 있습니다.


데이터 관리자

이제 데이터 관리 역할에 대해 설명하겠습니다. 이러한 역할은 누적 권한을 사용하여 디자인해야 합니다. 즉, Tier2 Admin에는 일부 추가 권한과 함께 Tier1 Admin의 모든 권한이 포함되어야 합니다. 따라서 이러한 그룹을 낮은 권한 단계부터 살펴보도록 하겠습니다.

Tier1 Admins 그룹은 이전에 만든 디렉터리 개체에 대한 일반 관리를 제공합니다. 이 그룹은 최소한의 교육을 받은 관리자나 암호 재설정과 같은 격리된 작업을 수행하는 관리자를 대상으로 합니다. 이 그룹에는 조직 구성 단위 내에서 사용자 계정 속성 수정, 사용자 계정 암호 재설정, 계정 잠금 해제, 사용자 계정 설정/해제, 워크스테이션 컴퓨터 계정 추가 및 재설정, 비관리 그룹의 그룹 개체 멤버십 수정 등을 수행할 수 있는 권한을 부여합니다.

Tier2 Admins 그룹은 Tier1 Admins에서 관리할 수 있는 경우에만 개체가 생성되도록 하여 개체의 선택적인 관리 및 생성을 설정합니다. 예를 들어 보안 그룹은 그룹 OU에만 만들 수 있습니다. Tier2 Admins는 Tier1 Admin 계정을 추가 및 수정할 수 있을 뿐만 아니라 OU의 사용자 계정을 추가, 수정 및 삭제하고 워크스테이션 컴퓨터 개체를 삭제할 수 있으며 서버, 연락처 및 공유 폴더 개체를 추가, 수정 및 삭제할 수 있습니다.

Regional Admins 그룹에는 해당 지역 OU 구조에 대한 독점적 권한이 부여됩니다. 그러나 디렉터리 내의 다른 지역 OU 구조는 관리할 수 없습니다. Regional Admin 계정은 높은 권한을 갖는 것으로 간주되므로 계정이 별도의 OU 계층에 저장되어 Tier4 Admin 서비스 관리자에 의해 관리됩니다. Regional Admins는 해당 OU 구조 내에서 다른 조직 구성 단위를 제외한 대부분의 개체를 무제한으로 만들 수 있습니다. 따라서 하위 계층에서 관리할 수 없는 개체가 생성될 수 있는 위험이 추가로 발생합니다.

다음은 Tier3 Admins입니다. 많은 조직은 중앙 집중식 또는 상위 계층의 헬프 데스크를 보유하고 있습니다. 이 역할은 데이터 관리자 목록을 채워 모든 Regional Admins에 데이터 관리자 그룹을 제공합니다. 권한은 디렉터리 내에서 특별히 이러한 그룹에 위임되는 것이 아니라 각 Regional Admins 그룹의 중첩 구성원을 통해 생성됩니다. 따라서 모든 데이터 관리자에게 최상위 에스컬레이션 지점뿐 아니라 서비스 관리 그룹으로 에스컬레이션되는 문제를 위한 입력 지점도 제공됩니다.


OU 및 보안 그룹 모델 작성

조직에서 역할을 정의한 후에는 OU와 보안 그룹 모델을 정의해야 합니다. Active Directory에서 OU를 만드는 주된 이유는 권한을 위임하고 그룹 정책 개체를 연결할 수 있는 지점을 만들기 위해서입니다. OU는 디렉터리 내에서 SOM(Scope-Of-Management)을 정의하여 권한을 다양한 수준의 개체로 제한하는 데 사용할 수 있습니다. 따라서 권한 위임을 위해 선택하는 방법은 OU 구조를 구현하는 방식을 결정하는 기본 요소가 됩니다.

이를 염두에 두고 모든 개체를 보유할 도메인 바로 아래에 최상위 OU나 일련의 OU를 만들어야 합니다. 이 OU는 Tier4 Admins의 최고 수준 SOM을 정의하려는 특정 목적을 지니고 있습니다. 최상위 OU를 만들면 디렉터리 서비스에 대한 권한이 도메인 수준이 아닌 OU 수준에서 명시적으로 시작할 수 있습니다. 도메인이 아닌 최상위 OU에서 위임하면 사용자가 기본 제공 도메인 그룹을 조작하여 권한을 상승할 위험이 줄어듭니다.

최상위 OU 아래에는 분리된 데이터 관리 팀이 있는 각 지역이나 업무 단위를 나타내는 별개의 하위 OU 계층을 만들어야 합니다. 각 지역의 하위 OU에는 디렉터리 개체 관리를 위한 확장할 수 없는 일반 OU 계층이 있어야 합니다. 권한 위임 중 대부분이 자동화될 예정이므로 지속적인 관리를 위해서는 통일성이 매우 중요합니다. 이것은 지역마다 고유한 OU를 원할 수 있기 때문에 어려울 수 있습니다. 그러나 IT 관리자는 자신의 입장을 고수해야 하며 한 지역에만 확장이 필요해도 모든 지역의 하위 OU 구조를 확장해야 합니다. 처음에는 어려워 보일 수 있지만 조직이 포괄적인 틀을 제공하면 주변 상황은 시간이 흐를수록 그 틀에 맞추어 가게 됩니다.

마지막으로 별개의 하위 관리 그룹과 계정을 만들어 관리자의 권한 상승 기능을 제거하십시오(각 하위 OU 계층의 Tier1 Admins, Tier2 Admins 및 Regional Admins 그룹). 이러한 계정을 별개의 OU에 배치하면 관리를 해당 수준 이하로 제한할 수 있습니다. 따라서 적절한 권한이 없는 OU에 모든 Tier1 Admins 계정 및 관련 보안 그룹이 상주하면 관리자가 다른 관리자 계정을 가로채거나 다른 관리자의 권한을 자신의 수준으로 상승시킬 수 없습니다. 예를 들어 Domain Admins 그룹의 구성원은 도메인의 다른 사용자 계정을 Domain Admin으로 만들 수 있습니다. 그러나 이 OU 모델이 배치되어 있으면 이러한 위험이 줄어듭니다. 그림 2는 관련 보안 그룹이 포함된 OU 구조의 예를 보여 줍니다.

그림 2 OU 구조 및 관련 보안 그룹
그림 2 OU 구조 및 관련 보안 그룹

보조 계정 설정

위임 모델의 성공 여부는 최소 권한 원칙의 적용에 달려 있습니다. 즉, 보안 사용자가 특정 역할에 필요한 작업만 수행할 수 있도록 해야 하는 것입니다. 그러나 안타깝게도 많은 IT 관리자는 디렉터리 관리와 일상적인 작업(예: 웹 검색 및 전자 메일 읽기)에 동일한 보안 사용자를 사용합니다. 별도의 계정을 보유하면 계층이 지정된 관리자가 실수로 디렉터리 서비스를 손상시키거나 일상적인 응용 프로그램을 통해 디렉터리 관리자를 대상으로 하는 공격에 노출될 가능성이 줄어듭니다.

사용자에게 다시 로그온하도록 요구하지 않고 이 작업을 수행하려면 Secondary Logon 서비스(Runas.exe)를 사용해야 합니다. 이 서비스를 사용하면 사용자가 서버와 워크스테이션에서 스크립트 또는 실행 파일을 실행할 때 대체 자격 증명 집합을 제공하여 자신의 권한을 상승시킬 수 있습니다.

최소 권한의 계정을 사용한다는 개념은 비교적 단순하지만 오래된 IT 관행을 깨기 어려운 기업에서는 이 개념을 적용하기가 힘듭니다. 권한 있는 계정이 일상적인 작업에 사용되지 않도록 할 수 있는 간단한 방법은 Exchange 서버에서 이러한 계정에 메일 액세스 권한을 제공하지 않고 조직 내에서 관리 정책을 통해 이를 강제 수행하는 것입니다. 비교적 단순한 이 방법을 사용하면 해당 계정이 관리 작업 이외의 일상적인 작업에 사용될 가능성이 상당히 줄어듭니다.


권한 위임

위임 모델 개발의 최종 단계는 Active Directory 내에서 권한을 실제로 위임하는 것입니다. 이렇게 하려면 디렉터리 내에 저장된 데이터에 대해 ACE(액세스 제어 항목) 및 ACL(액세스 제어 목록)을 조작해야 합니다. Active Directory 컨테이너의 ACL은 생성 가능한 개체와 해당 개체의 관리 방법을 정의합니다. 권한 위임에는 개체 보기, 지정된 클래스의 하위 개체 만들기, 지정된 클래스의 개체에 대한 특성 및 보안 정보 읽기 등과 같은 기본 개체 작업이 포함됩니다. 이러한 기본 작업 외에도 Active Directory는 다음으로 보내기, 복제 토폴로지 관리 등의 작업을 지원하는 확장 권한을 정의합니다.

이전 단계에서는 정의된 조직 구성 역할에 매핑되는 보안 그룹 만들기에 대해 설명했습니다. 모든 역할에는 하위 OU 구조별로 연결된 보안 그룹이 있습니다. 위임 모델을 구현하려면 이러한 그룹에 디렉터리 개체에 대한 사용 권한을 할당해야 합니다. 이 시점에서는 항목을 새로 개발하고 복잡하게 사용자 지정된 환경을 만들고 싶지는 않을 것입니다. 대신 기본 제공 그룹과 권한을 최대한 활용해 볼 수 있습니다. 특정 역할이 포리스트의 DNS 레코드를 관리해야 하는 경우, Active Directory 통합 DNS에 관련된 컨테이너와 명명 컨텍스트에 대한 권한을 위임하지 않고 도메인의 BUILTIN\DNS Admins 그룹을 사용하면 됩니다. 또한 그룹 정책을 통해 사용자 권한 및 기타 사용 권한을 확장하여 특정 역할이 특정 클래스의 시스템을 관리하는 데 필요한 추가 권한을 제공할 수 있습니다.

위임을 통해 사용 권한을 할당할 때는 디렉터리 내의 ACE 거부 사용을 제한하거나 아예 사용하지 않아야 합니다. 이는 문제 해결 작업에서 복잡해질 수 있습니다. 더 바람직한 방법은 명시적인 ACE 허용을 사용하여 해당 역할을 나타내는 사용자 지정 그룹에 권한을 부여하는 것입니다. Tier4 Admins와 같은 사용자 지정 역할은 해당 역할이 지정한 명시적 권한만 갖습니다.

상속은 Active Directory 보안에 중요하며 특정 ACL이 특정 컨테이너나 하위 컨테이너의 하위 개체에 적용되는 방법을 정의합니다. 상속 가능한 ACE가 대상 개체에 최대한 가까이 적용되도록 하여 항상 상속 범위를 명확히 하십시오. 상위 개체에 적용된 상속 가능한 거부 권한이 최상위 개체에 적용된 상속 가능한 거부 권한보다 우선하며 이것이 바로 ACE 거부가 실용적인 위임을 위해 권장되지 않는 주된 이유 중 하나입니다. 또한 상속 가능한 사용 권한은 개체의 명시적 ACE를 무시할 수 없습니다. 따라서 DACL 쓰기 권한을 제거하여 계층별 관리자가 디렉터리 개체의 임의 액세스 제어 목록을 수정할 수 있는 기능을 제한 또는 제거하는 것이 좋습니다. 이러한 권한은 개체를 암시적으로 만든 사람에게 있습니다. 최우선 규칙은 가능한 경우 관리자가 개체의 DACL을 변경하는 것입니다. 선택 항목과 잠재적 관리 오류를 추가하여 조직이 애써 위임 모델에 투자한 노력을 쓸모없게 하지 마십시오.

Active Directory 위임 모델을 제대로 구현하는 데 사용해야 할 도구가 많습니다. 대부분의 대규모 조직에서 기본 제공 위임 마법사를 사용하여 디렉터리 내의 사용 권한을 할당하는 것은 관리 오류가 발생할 수 있는 매우 위험한 작업입니다. 대신 항상 자동화를 통해 위임 모델이 제대로 문서화되고 지원 가능하도록 해야 하며 설정이 실수로 손실 또는 변경될 경우에 대비하여 복구 옵션을 제공하도록 해야 합니다.

위임 구현에 필요한 기본 도구는 개체의 디렉터리 서비스 ACL을 조작하는 데 사용되는 명령줄 도구인 DSACLS.EXE입니다. 이 도구를 사용하면 상위 개체에서 DACL의 상속 플래그를 지정할 수도 있습니다. 상속 플래그는 이 개체와 하위 개체를 모두 포함하거나 하위 개체만 포함하며 하나의 수준에서만 상속 가능한 사용 권한을 전달합니다. 상속 플래그를 잘못 설정하면 최종적으로 DSACLS 명령이 실패하게 되므로 이 도구를 사용할 때는 반드시 테스트를 수행해야 합니다. 다음은 대상 데모 OU에 컴퓨터 개체 생성 기능을 위임하는 DSACLS 구문의 예입니다.

dsacls.exe ou=demo,dc=contoso,dc=com /I:T /G contoso\dataadmin:CC;computer

DSACLS는 개체 유형에 한하여 대소문자를 구분합니다. 즉, "cn=computer"에 "cn=Computer" 개체 클래스의 사용 권한을 위임하려고 하면 실패하게 됩니다(그림 3 참조).

일부 개체를 만들려면 특정 권한 집합이 필요합니다. 이 작업은 개체의 "필수" 특성과 "선택" 특성으로 수행해야 합니다. 이 개념을 설명하는 데 가장 좋은 비유를 들자면 바로 햄버거 모델입니다. 햄버거는 둥글게 다진 고기와 햄버거 빵이 있어야 햄버거로 간주됩니다. 이러한 품목은 햄버거 개체 클래스의 필수 특성입니다. 피클, 케첩, 겨자 등의 품목은 선택 특성입니다. 개체 클래스를 확장하여 치즈버거를 정의하는 경우에는 필수 특성 목록에 치즈를 추가해야 합니다.

사용자 개체도 이와 동일한 방식으로 작동합니다. 이 모델에 따라 다음 DSACLS 구문을 사용하여 사용자 개체를 만들어 볼까요?

dsacls ou=demo,dc=contoso,dc=com /I:T /G contoso\demodata:CC;user 

관리자는 사용자 개체를 만드는 동안 여러 가지 오류에 직면합니다. 암호 설정을 포함하여 사용자 개체에 필요한 특성을 설정하는 데 필요한 권한을 부여해야 하는데, 이는 다음과 같은 추가 DSACLS 구문에서 설명됩니다.

우선 사용자 클래스의 모든 특성에 대한 일반 읽기/일반 쓰기 권한을 부여하여 쓰기 필수 특성에 대한 사용 권한을 부여해야 합니다.

dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:GRGW;;user
그런 다음 암호를 변경하는 확장 권한을 부여합니다.
dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:CA;"Reset Password";user
그리고 마지막으로 암호 설정한 날짜의 읽기 속성 및 쓰기 속성에 사용 권한을 부여하면 됩니다.
dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:RPWP;pwdLastSet;user

적절한 권한을 위임한 후에는 정의된 역할이 컨테이너의 DACL에 지정된 관리 개체 클래스로만 제한됩니다. 이전 컴퓨터 개체 예제를 사용하면 Active Directory 사용자 및 컴퓨터의 상황에 맞는 메뉴에 따라 해당 권한을 위임 받은 사용자가 만들 수 있는 새 개체 목록이 제한됩니다(그림 4의 제한된 목록 참조).

그림 4 새 개체의 제한된 목록
그림 4 새 개체의 제한된 목록

DSACLS를 자동화하여 복잡한 권한 위임을 제공할 수도 있습니다. 다음은 특정 컨테이너의 사용자 개체에 대해 일반 주소 특성 조작 권한을 위임하는 데 사용할 수 있는 DSACLS 명령입니다.

dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:RPWP;c;user
dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:RPWP;co;user
dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:RPWP;l;user
dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:RPWP;postalCode;user
dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:RPWP;postOfficeBox;user
dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:RPWP;st;user
dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:RPWP;streetAddress;user
dsacls ou=demo,dc=contoso,dc=com /I:S /G contoso\demodata:RPWP;telephoneNumber;user

이러한 예는 대부분의 위임 모델에 흔히 발생하며 이전에 정의된 역할과 함께 사용할 수 있습니다.

위임 구현에 사용되는 또 다른 도구인 DSREVOKE.EXE를 사용하면 관리자가 디렉터리 내에서 개체의 특정 보안 사용자에 대해 위임된 권한을 찾아서 제거할 수 있습니다. 이 도구는 매우 유용할 수도 있지만 특정 보안 사용자에게만 적용되고 보안 그룹 내에 중첩된 구성원은 평가하지 않습니다.

이러한 명령줄 도구 외에도 그룹 정책과 함께 사용자 권한 할당 및 제한된 그룹을 사용하는 것이 좋습니다. 앞서 설명한 대로 사용자 권한 할당을 사용하면 IT 관리자가 특정 대상 시스템에서 다양한 사용자 그룹의 하위 수준 권한(예: 원격으로 액세스하여 시스템을 다시 시작하는 권한)을 확장하거나 제거할 수 있습니다. 제한된 그룹을 사용하면 포리스트 내에서 로컬 및 도메인 그룹 구성원을 지정하고 적용할 수 있습니다. 이러한 도구를 함께 사용하면 Active Directory 위임 모델을 자동화하고 구현하는 데 필요한 모든 항목이 제공됩니다.


요약

Active Directory 위임 모델의 개발 작업은 일견 복잡해 보일 수 있지만 대부분의 IT 인프라에 적용할 수 있는 매우 단순한 모델이 존재합니다. 실용적인 위임 모델을 배포할 때 가장 중요한 단계 중 하나는 분명한 역할을 정의하는 것입니다. 정의된 역할은 소수의 신뢰할 수 있는 개인으로 제한해야 합니다. 역할이 너무 많으면 사용되지 않는 역할이 발생하고 너무 적으면 역할이 구분되지 않아 균형을 조정하기가 어렵습니다.

작업을 정의할 때는 빈도, 중요도 및 난이도별로 범주를 나누십시오. 역할을 정의한 후에는 각 역할로 할 수 있는 작업과 할 수 없는 작업을 파악하고 테스트 프로세스를 자동화하는 데 도움이 되는 사례 집합을 개발합니다. 사례를 제대로 준비하면 조직의 관련자들에게 해당 역할을 설명하고 자동화 오류로 인한 위험을 줄이는 데 도움이 됩니다.

마지막으로, 위임 모델을 개발할 때는 항상 실용적으로 접근하는 것이 좋습니다. 간단할수록 지원 가능성이 높아지고 장기적으로 유용한 위임 모델은 Active Directory 환경 내에서 관리 권한을 제어하는 데 매우 유용합니다.



Joel Yoker는 Microsoft Federal 팀의 수석 컨설턴트입니다. Joel과 Rob은 모두 미연방 정부 고객을 위한 보안 솔루션을 개발하여 배포하는 업무를 주로 담당하고 있습니다.

Rob Campbell은 Microsoft Federal 팀의 수석 기술 전문가입니다. Joel과 Rob은 모두 미연방 정부 고객을 위한 보안 솔루션을 개발하여 배포하는 업무를 주로 담당하고 있습니다.

댓글을 달아 주세요

At a Glance:
  • ADMX 살펴보기
  • ADMX 파일 편집
  • ADM 파일과 ADMX 파일의 차이점
  • 중앙 저장소 만들기

Windows Vista 이전에는 그룹 정책 내에서 레지스트리 값을 설정할 수 있었으며 이 값은 복잡한 전용 구문을 사용하는 ADM 파일에서 관리했습니다. Microsoft에서 표준 ADM 파일과 함께 제공하는 레지스트리 값보다 더 상세하게 레지스트리 값을 제어하려면

이러한 구문을 이해하고 사용자 지정 ADM 파일을 만들어야 했습니다. 또한 이러한 ADM 파일은 Active Directory® 환경에서 각 GPO(그룹 정책 개체)에 저장되었으며 도메인 내의 모든 도메인 컨트롤러에 이러한 개별 GPO와 관련 ADM 파일이 복제되었습니다.

Microsoft는 Windows Vista™의 릴리스에 맞추어 그룹 정책 기반의 레지스트리 템플릿 분야에서 큰 변화를 시도했습니다. Windows Vista에서는 ADM 파일(이제 ADMX라고 함)의 형식은 물론 이러한 ADMX 파일의 저장 방법까지 모두 변경되었습니다. 이 기사에서는 새로운 ADMX 형식에 대해 살펴보고 ADMX 파일이 기존의 ADM 파일과 어떻게 다른지 알아봅니다. 또한 Windows Vista 환경에서 ADMX 파일의 저장소가 처리되는 방법에 대해서도 알아봅니다.


ADMX의 차이점

Windows NT® 4.0부터 사용된 기존의 ADM 파일과 새로운 ADMX 파일의 가장 큰 차이점이라면, ADMX 파일은 XML 표준을 사용하여 레지스트리 정책 설정을 설명한다는 것입니다. XML 표준을 사용하면 몇 가지 이점을 얻을 수 있습니다. 우선 ADM 구문보다 XML을 편집할 수 있는 도구가 훨씬 다양하고 많습니다. 두 번째로, XML을 스키마화할 수 있으므로 향후 알맞은 위치에 알맞은 태그를 넣을 수 있는 도구를 더욱 쉽게 개발하여 올바른 형식의 ADMX 파일을 만들 수 있습니다. 스키마화할 수 있다는 것은 ADMX 형식과 같은 특정한 XML 적용 분야에서 사용 가능한 요소와 특성을 설명하고 이러한 것들이 구성되는 방법을 설명하는 문서화된 스키마를 사용할 수 있음을 의미합니다. 이에 대해서는 이 기사 후반부의 예제를 통해 살펴보겠습니다.

ADMX 파일과 ADM 파일의 또 다른 중요한 차이점은 기본 ADMX 파일의 문자열 섹션이 언어별 ADMX 파일로 분리된다는 점입니다. ADM 파일에 익숙한 사용자라면 모든 파일 끝에 "[strings]" 태그로 구분된 섹션이 있다는 것을 알고 있을 것입니다. 이 섹션에서 그룹 정책 편집기 및 관리 템플릿을 사용하여 표시할 텍스트 문자열에 값을 할당할 수 있습니다. 예를 들어 특정 정책의 설명 탭을 클릭하면 해당 문자열 섹션 내에 저장된 텍스트가 표시됩니다. 이 경우 해당 문자열이 ADM 파일 내에 저장되기 때문에 다른 언어로 실행되는 Windows® 시스템에서서 ADM을 사용하려면 해당 언어에 대한 문자열 섹션이 있는 ADM 파일을 새로 만들어야 하는 문제점이 있었습니다.

예를 들어 프랑스어 버전의 Windows 사용자가 영어로 작성된 ADM 파일이 사용된 기존 GPO를 편집할 경우에는 문제가 더 복잡해지는 것입니다. 프랑스어를 사용하는 관리자는 그룹 정책 편집기에서 영어로만 GPO를 볼 수 있습니다. Windows Vista에서는 [strings] 섹션을 XML 기반의 ADML(ADM Language) 파일에 분리함으로써 이 문제를 해결했습니다. ADML 파일은 지원되는 모든 언어로 제공될 수 있으며 정책을 저장하는 기본 ADMX 파일을 수정하지 않고도 간편한 변경 작업을 통해 새로운 언어를 지원할 수 있습니다. 더욱 중요한 점은 프랑스어를 사용하는 관리자가 Windows Vista 워크스테이션에서 GPO를 편집할 경우 그룹 정책 편집기에서는 현재 사용되고 있는 프랑스어 버전의 Windows를 검색한 다음 해당 GPO에 맞는 프랑스어 ADML 파일을 자동으로 로드한다는 것입니다.

c:\windows\policydefinitions(그림 1 참조)에서 해당 폴더를 열면 Windows Vista와 함께 설치된 ADMX 및 ADML 파일을 모두 볼 수 있습니다.

그림 1을 보면 파일 목록 맨 위에 en-us라는 폴더가 있습니다. 이 폴더는 영어(미국) 사용에 따른 해당 언어별 폴더이며 ADMX 파일에 대한 ADML 파일이 포함되어 있습니다. 이러한 파일들은 PolicyDefinitions 폴더에서 볼 수 있습니다. 각 ADMX에는 ADML 파일이 한 개씩 존재합니다. 이 기사를 작성한 시점을 기준으로 Windows Vista에는 132개의 ADMX/ADML 파일이 기본으로 포함되어 있습니다. 이는 이전 버전의 Windows와 Windows Vista의 또 다른 큰 차이점이라고 할 수 있습니다. Windows XP에서 만든 GPO에는 보통 다섯 개의 ADM 파일이 포함되어 있었습니다. 이 중 가장 큰 파일인 System.adm에는 정책 제어에 따라 대부분의 Windows 구성 요소에 대한 정책 항목이 포함되어 있었습니다. Windows Vista에서는 ADMX 파일을 기능별로 세분화하여 더 많은 수의 ADMX 파일로 나누는 방법을 선택했습니다. 일반적으로 각 ADMX 파일은 제어판, DNS 클라이언트, Windows 탐색기 등과 같은 단일 Windows 구성 요소와 관련이 있습니다.


ADMX 살펴보기

앞서 설명한 것처럼 XML로 작성된 ADMX는 매우 향상된 부분입니다. 그러나 다수의 관리자들이 XML을 쓰는 방법에 대해 잘 모르고 있으며 정책을 확장하기 위해 ADMX에 사용되는 스키마에 대해서만 이해하고 있는 실정입니다. 사용자 지정 ADMX를 만드는 방법은 이 문서에서 다루기에는 광범위한 주제이므로 여기에서는 ADMX가 어떻게 만들어지는지 간단히 살펴보겠습니다.

메모장을 비롯한 모든 텍스트 편집기에서 ADMX 또는 ADML 파일을 열 수 있지만 이러한 편집기에서 XML 구문을 지원하지 않는다면 별로 도움이 되지 못할 것입니다. 필자는 Visual Studio®를 사용하는데 여기에 포함된 IntelliSense®라는 기능을 사용하면 특정 요소를 쉽게 처리할 수 있습니다. 그림 2에서는 Windows Vista와 함께 제공되는 ADMX의 처음 몇 줄을 보여 줍니다.

XML에 익숙하지 않다면 위의 그림이 매우 이상하게 보일 수도 있습니다. 그러나 모든 ADMX 파일에서 이러한 XML 요소를 많이 볼 수 있습니다. 예를 들어 policyNamespaces 요소는 모든 ADMX 파일 내에 있는 이 ADMX 파일을 고유하게 식별합니다.

이전 버전의 Windows에서 사용자 지정 ADM 파일을 만들 경우에는 그룹 정책 편집기에 나타나는 정책 설정을 정의하기 위해 Category, Policy, ListBox 및 ActionList와 같은 여러 가지 태그를 적용했습니다. ADMX 형식에서도 대부분의 태그는 거의 변경되지 않거나 약소한 수준으로 변경되었음에도 불구하고 XML로 표현되기 때문에 매우 다른 형태로 보입니다. 예를 들어 그룹 정책 문제 해결을 위해 Windows 내에서 다양한 유형의 로깅을 설정하는 사용자 지정 ADM 파일을 만들었다고 가정해 보겠습니다. 이 사용자 지정 ADM 섹션은 그림 3에서 볼 수 있습니다. 이 파일을 그림 4와 같이 새로운 ADMX 형식으로 전환했습니다.

여러 가지 면에서 이 ADMX 조각은 ADM보다 훨씬 이해하기 쉽고 간결합니다. 정책 요소는 해당 정책이 수행하는 내용(폴더 리디렉션 로깅)을 지정합니다. 접두사 $(string.이 붙은 특성은 해당 ADML 문자열 요소에 대한 참조입니다. 키 및 값 이름 특성은 이 정책에 영향을 받는 레지스트리 키 및 값을 지정합니다. parentCategory 요소는 이 정책이 그룹 정책 편집기 관리 템플릿 계층에서 나타나는 위치를 제어합니다. supportedOn 요소는 이 정책에 반영된 운영 체제 버전이 무엇인지 나타내고 이로 인해 enabledvalue 및 disabledvalue 요소는 이 정책이 사용 및 사용 안 함으로 설정되는 경우 레지스트리에 들어갈 값을 지정합니다.

이것은 매우 간단한 설정/해제 정책입니다. ADM 구문에서와 마찬가지로 그룹 정책 편집기 내에서 보다 복잡한 UI 요소를 만들 수 있습니다. ADMX에서 이를 수행할 경우에는 구문에 더 많은 내용을 추가하게 됩니다. 즉, ADML 파일에서 UI 요소의 텍스트 레이블이 있는 부분을 참조하는 프레젠테이션 특성을 구문에 사용합니다. 그러나 ADMX 구문이 그리 복잡하지는 않습니다. 한 가지 기억해야 할 것은 ADM에서 ADMX로 오면서 일부 태그 이름이 변경되었다는 점입니다. 예를 들어 ADM에서 사용하는 "edittext" 및 "listbox" 태그의 경우 ADMX에서는 ADMX 파일 내에서 "text" 및 "list"로 사용되는 것을 볼 수 있습니다. 이러한 요소는 텍스트를 지정하는 ADML 파일에서 해당 항목을 갖게 되며, 이 텍스트는 해당 요소와 함께 표시됩니다.

이미 아는 내용일 수도 있지만 관리자는 기존의 사용자 지정 ADM 파일을 Windows Vista 그룹 정책 개체 편집기에 로드할 수 있습니다. 필자는 Microsoft에서 사용자 지정 ADM 파일을 ADMX 구문으로 전환할 수 있는 유틸리티를 제공할 계획이 있는지에 대해 이따금 질문을 받기도 합니다. 실제로 Microsoft에서는 FullArmor Corp.과의 협력을 통해 ADMX Migrator라는 전환 도구를 무료로 배포하고 있습니다. 이 도구는 두 가지 기능을 수행합니다. 우선 기존의 사용자 지정 ADM 파일을 ADMX 형식으로 전환해 줍니다. 그림 5에서는 이 도구를 사용하여 필자가 사용한 사용자 지정 gpolog.adm 파일을 전환하는 것을 보여 줍니다.

두 번째로 ADMX Migrator를 사용하면 ADMX Editor에서 새로운 ADMX 파일을 처음부터 만들 수 있습니다. 이 도구는 go.microsoft.com/fwlink/?LinkID=77409(영문)에서 다운로드할 수 있습니다.


ADMX 저장소

주목할 만한 또 다른 변화로 ADMX 및 ADML 파일을 저장하는 방법을 들 수 있습니다. Windows Vista 이전 버전의 Windows에서는 새 GPO를 편집하는 경우 사용자가 편집 작업을 수행하는 로컬 워크스테이션에서 Active Directory 도메인의 도메인 컨트롤러에 있는 GPO의 SYSVOL 부분으로 ADM 파일이 자동으로 복사되었습니다. 이러한 ADM 파일은 이후 만들어지는 모든 GPO에 대해 도메인 내 각 DC에 복제되었습니다. 위와 같은 프로세스에서는 많은 네트워크 대역폭과 디스크 저장소가 낭비되었으며, 특히 수천 개의 GPO가 있는 대규모 환경에서 이러한 경향이 뚜렷했습니다. Windows Vista에서는 이러한 소모적인 프로세스를 개선했습니다. 기본적으로 Windows Vista 워크스테이션에서 Active Directory 기반의 GPO를 만들 경우 그룹 정책 편집기에 나타나는 관리 템플릿 정책은 사용자가 GPO를 편집하고 있는 컴퓨터의 c:\windows\policydefinitions 폴더에서 로드됩니다.

ADMX 및 ADML 파일은 SYSVOL에 복사되지 않으며 로컬에서만 참조됩니다. 따라서 그룹 정책 환경에서 ADM 파일로 인해 나타나는 저장소 및 네트워크 부담이 해소됩니다. 그러나 이보다 더욱 개선된 사항이 또 있습니다. Windows Vista에서는 관리 템플릿을 위한 리포지토리인 중앙 저장소를 지원하므로 GPO를 편집하는 사용자에 관계없이 GPO 편집에 사용되는 ADMX 파일을 효율적으로 제어할 수 있게 되었습니다. 이렇게 하려면 모든 공식적인 ADMX 및 ADML 파일(모든 사용자 지정 파일 포함)을 네트워크 위치에 복사합니다. 그러면 이후에 Windows Vista 워크스테이션에서 그룹 정책을 편집할 때 개별적인 로컬 버전이 아니라 네트워크 기반의 버전을 모두 참조하게 됩니다. 도메인 하나에 중앙 저장소를 한 번만 설정해 주면 되므로 작업이 간편합니다. 자세한 단계를 보려면 "중앙 저장소 만들기"를 참조하십시오.


요약

Windows Vista의 ADMX 형식은 기존 OS 버전에서 사용된 ADM 파일의 문제점을 눈에 띄게 개선한 새로운 형식입니다. XML을 사용함으로써 이러한 파일을 편집하고 검색할 수 있는 더 나은 프레임워크를 얻게 됩니다. 언어별 문자열을 개별 파일로 분리함으로써 완벽한 다국어 그룹 정책 편집이 가능해졌을 뿐 아니라 중앙 저장소에서는 ADM 파일 복사본이 저장된 모든 GPO를 일일이 복사하고 업데이트해야 할 필요가 없어졌습니다. 이러한 이점을 제공하는 ADMX를 활용해 보시기 바랍니다.

중앙 저장소 만들기

중앙 저장소를 만드는 방법은 비교적 간단합니다. 간단한 다음 단계를 따라 Active Directory 도메인 내부에 하나의 저장소를 만들어 보십시오.

1단계: 탐색기를 열고 사용자 환경의 PDC 에뮬레이터 DC에 있는 SYSVOL 공유로 이동합니다. 모든 DC를 사용할 수 있으나 PDC 역할 소유자는 일반적으로 모든 그룹 정책 변경 사항이 집중된 위치에 있습니다.

2단계: SYSVOL 아래의 Policies 폴더를 찾은 다음 PolicyDefinitions라는 이름으로 새 폴더를 만듭니다.

3단계: Windows Vista 워크스테이션에서 언어별 ADML 폴더(예: 영어(미국) 컴퓨터의 경우 en-us 폴더)를 비롯하여 C:\windows\policydefinitions 폴더의 내용을 새 PolicyDefinitions 폴더로 복사합니다.

ADMX 및 ADML 파일이 중앙 저장소 폴더로 복사되면 Windows Vista의 그룹 정책 개체 편집기에서 해당 파일을 참조하게 되며 로컬로 저장된 파일은 무시하게 됩니다.




Darren Mar-Elia는 Microsoft 그룹 정책 MVP이며 유명한 그룹 정책 사이트인 www.gpoguy.com의 제작자이자 Microsoft Windows Group Policy Guide(Microsoft Press, 2005년)의 공동 저자이기도 합니다. 또한 그는 SDM Software, Inc.의 CTO이자 설립자입니다. 문의 사항이 있으면 Darren@gpoguy.com으로 연락하십시오.

댓글을 달아 주세요

끄적끄적...

STUDY/ㄴ WINDOWS 2007.02.08 08:44 |

윤철 주임의 삽질의 여파인지..
나도 슬슬 지금 T40에 깔린 O/S가 맘에 안든다.
그래도 젤루 잘 맞는것이 XP니깐 걍 걸루 깔기루
드라이버야 IBM(지금은 레노버지..)에서 자동으로 다운 받음 되구..
기존에 자주 쓰던 문근영버전으로 깔았는데 사용자가 master이고 자동으로 로긴 한다는거..
윈도XP의 경우는 이전 운영체제보다 보안성이 강화된 운영체제므로 보안관련 옵션들은 되도록이면 활성화해서 사용하는 것이 좋겠쥐.
근데 문그녕버전은 마스타로 홀랑 떠버리더구먼 패스워드를 만들어서 넣었더니 로긴메세지창 뜨면서 도메인이 틀리고 뭐 어쩌구 저쩌구 이것저것 해보다가 관리자 도구에는 나와 있지 않지만 사용자 계정에 암호나 권한 설정을 해줄수 있는 명령어가 있어서 해봤다.
잘 된다.!  흐으~^^;;..


시작 버튼에 실행 버튼을 누르고 열기에 control userpasswords2를 입력하고 엔터 하면 대화창이

사용자 삽입 이미지

..이거...대화창..

나오고 사용자탭의 중간에 [사용자 이름과 암호를 클릭해야 이컴퓨터를 사용할 수 있음]이 해제되어 있는데 이걸 체크해주면 그런 메세지 창은 더 이상 나오지 않을것이다.

레지스트릴 건드려서 설정하는 방법도 있고..물론 관리자 계정으로 혹은 권한으로 로긴해야하겠지?

참! 부팅하고 나면 NumLock은 왜 또 자동으로 On되어 있는겨? ㅡ``ㅡ;;

로긴 하려고 로긴창에 암호 넣다가 맞질 않아 쩔쩔매고 있었구만..한참만에야 알았네...

이것도 실행>열기에>regedit넣구 레지스트리 편집기 꺼내서 살짜기 편집..
[ HKEY_CURRENT_USER\Control Panel\Keyboard ]가서 InitialKeyboardIndicators라는 탭에 초기값이 0으로 로 되어있는데 이걸 2
루..(이럴땐 놋북이라 불편해..)
첨부:로긴하기 전까진 안바뀐다는...ㅠㅠ 글서 BIOS에서 변경...쩝..

아...비도 오고..어젠 술먹고 싶어도 늦어서 대충 씻고 일기도 안쓰고 잤구만...

방이 좁아서 그런지 컴퓨터 기판 냄새가 진동을 하던데 아무래도 예전처럼 컴터를 배란다나 다용도실에 짱박아(?) 놔야 할 것 같아..어차피 마이 쓰지도 않고.. 놋북도 있으니..

오늘은 다른 때보다 비오는 것이 너무 좋은걸?

따뜻한 목적지 없는 통일호좌석(무궁화호는 왜 안돼는데?)에 앉아 빠르게 지나가는 바깥풍경과 창에 부딪히는 빗방울 보며 기분을 맘껏 느끼고 싶다.

에쒸....ㅠㅠ;;;;;

'STUDY > ㄴ WINDOWS' 카테고리의 다른 글

Active Directory에서 권한 위임  (0) 2007.02.14
Windows Vista의 새 그룹 정책 템플릿 검토  (0) 2007.02.13
끄적끄적...  (0) 2007.02.08
원격 데스크탑 연결 사용하기  (0) 2007.02.01
2003 원격접속 세션을 하나로..  (2) 2007.01.24
Utility Spotlight  (0) 2007.01.14

댓글을 달아 주세요