흙수저의 엔지니어링

AD에 JOIN 후 프로그램 설치나, 이전 계정의 폴더를 접속하려고 하니 계속 계정 정보를 입력하라고 나옵니다.

이럴 경우 아래와 같이 설정을 하면 해당 이슈 해결됩니다.

설정 이유 컴퓨터를 재시작하거나 "gpupdate /force" 명령어를 적용해 주세요

AD 계정 삭제 명령어

dsrm "cn=홍길동, ou=test, dc=ksm, dc=com"

레지스트리 파일을 만들어서 배포하고 실행하는 정책을 만들어 봤습니다.

보시고 활용하시기 바랍니다.

정책을 적용하는 부분은 이미 알고 있다는 전제하에, 정책을 생성하는 부분만 설명 하겠습니다.

정책을 배포하기 전에 가장 중요한 것은 모든 AD User들이 접근할 수 있는 공유폴더의 설정이 필요합니다.

AD User가 접근가능한 폴더에서 파일을 복사해 가게끔 해야 하기 때문엡니다.

사용자 구성 → 정책 → Windows 설정 → 스크립트 (로그온/로그오프) → 로그온 → (마우스 팝업 매뉴) 속성 → 스크립트 추가

※ 아래의 "로그온" 폴더 위치를 임의의 폴더로 변경해서 스크립트를 선택하면 실행이 안되더군요.

로그온을 더블클릭 하거나, 마우스 오른쪽 버튼의 팝업 매뉴를 활성화 시킨 후 속성을 선택

스크립트 파일을 "찾아보기"를 눌러서 검색

현재의 경로에 파일을 붙여넣기하여 선택

※ 저는 해당 경로의 위치를 바꾸면 실행이 되지 않았습니다.

적용

스크립트의 내용은

start_script.bat 파일을 실행하여 내 PC에 해당 파일이 있는지 없는지 판단한 후 있다면 종료, 없다면 해당 파일을 내 PC에 복사하여 실행하는 것입니다.

스크립트: start_script.bat

REM "REM"은 윈도우에서 주석을 의미합니다.
REM echo off 의 의미는 이후 실행하는 명령어를 화면에 표시하지 않겠다는 것이고,
REM 앞의 @ 는 echo off 명령어 자체도 화면에 표시하지 않도록 하는 기능을 합니다.
@echo off

dir c:\users\%username%\downloads | findstr script_test.bat > nul
REM "nul"은 빈 값을 의미합니다.
REM 출력을 빈 곳으로 보내니 결국 화면에도 파일에도 결과를 출력하지 않고
REM 출력 결과를 날려버리는 용도로 사용
if %errorlevel% == 1 (
REM %errorlevel%은 마지막으로 실행시킨 명령어의 실패 여부를 나타냅니다.
REM 성공했을때에는 0의 값을, 실패했을때에는 1의 값을 반환합니다.
    copy \\192.168.000.000\전사공유\화면보호기활성화\script_test.bat c:\users\%username%\downloads /y
    c:\users\%username%\downloads\script_test.bat
) else (
    echo 이미 자료가 있어 복사를 하지 않았습니다.
)

스크립트의 내용은

start_script.bat 배치 파일로 복사해 온 script_test.bat 파일을 실행하여 화면보호기의 작동 여부 설정을 레지스트리에서 값을 불러온 후 화면보호기 작동 여부에 따라서 실행이 되게끔 설정한 스크립트 입니다.

스크립트: script_test.bat

@echo off

for /f "tokens=3 delims= " %%a IN ('reg query "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveActive') do set result=%%a

if %result% == 1 (
echo.
echo 이미 설정이 적용되어 있습니다.
) else (
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveActive /t REG_SZ /d 1 /f >> nul
echo.
echo 설정을 적용하였습니다.
)

도메인 패스워드 설정을 해도, 제가 설정한 것이 아닌 다른 설정의 정책이 적용이 되어 있네요.

왜 이런 현상이 있는지 거의 3일은 고생한 것 같아요.

AD의 ADDefaultDomainPasswordPolicy 정책에 대한 규칙과 우선순위가 정해져 있네요.

AD 공부 초기라서 이런 사소한 부분을 파고 있습니다.

파악한 내용을 기록합니다.

알고 있으면 아무것도 아닌 규칙이지만, 애매하게 알고 있으면 파악이 안되는 정책 적용 입니다.

1. AD에서 ADDefaultDomainPasswordPolicy의 정책은 최상위 도메인에서만 적용된다.

2. ADDefaultDomainPasswordPolicy의 정책은 Default Domain Policy의 GPO에서만 설정이 적용 된다.

3. Default Domain Policy의 GPO가 아닌 다른 GPO에서는 ADDefaultDomainPasswordPolicy 정책이 적용되지 않는다.

4. Default Domain Policy의 GPO가 비활성화 되어 있는 경우에는 마지막으로 GPO에 설정되어 있던 ADDefaultDomainPasswordPolicy의 정책이 적용된다.

5. Default Domain Policy의 GPO에서 ADDefaultDomainPasswordPolicy의 설정을 하지 않을 경우에는 로컬그룹정책의 패스워드설정 정책을 따른다.

※ 계정 정책은 Default Domain Policy에서만 적용됩니다.

AD에서 계정의 암호 정책 적용이 되지 않아 고생한 적이 있습니다.

AD의 설정이 기존 윈도우 버전과 달라졌다고는 하는데, 정확히 어느 Windows 버전에서부터 변경됐는지는 모르겠네요.

계정 정책의 암호 정책을 적용하기 위해서는 전체 적용시에는 대상 범위를 "Authenticated Users"를 선택하면 됩니다.

히지만, 별도의 개별 OU에 적용을 할때에는 아래와 같이 사용자와 컴퓨터을 모두 넣어줘야 정상적으로 적용이 됩니다.

AD를 설치하고 운영을 하려다 보니, AD 서비스별 이동이 불편하더군요.

그래서 AD 운영에 필요한 서비스들을 묶은 관리 콘솔을 만들어 봅니다.

mmc.exe를 실행합니다. (mmc만 입력하면 그룹정책관리 서비스가 나옵니다.)

파일 → "스냅인 추가/제거 " 명령어 선택

"Active Directory 사용자 및 컴퓨터"와 "그룹 정책 관리"를 추가한 후 확인을 누릅니다.

아래의 화면처럼 나오면 AD 관리콘솔 완성 입니다.

해당 관리콘솔을 저장합니다.

"바탕 화면"을 누릅니다.

완료!

dsadd 명령어는 AD에서 계정을 생성하는 명령어 입니다.

계정 생성 편의성을 위해서 명령어를 확인해 봤습니다.

예제)

dsadd user "CN=홍길동,OU=test1,OU=ksm,DC=ksm,DC=com" -samid gildong_hong -upn gildong_hong@ksm.com -ln 홍 -fn 길동 -display 홍길동 -pwd 1234567890 -mustchpwd yes

[명령어 항목 설명]

dsadd user: 계정 생성 명령어

"CN=홍길동,OU=test1,OU=ksm,DC=ksm,DC=com": 계정을 생성할 조직 위치 및 이름

-samid gildong_hong: Windows 2000 이전 버전 사용자 로그온 이름 설정

-upn gildong_hong@ksm.com: 사용자 로그온 이름 설정 (컴퓨터 로그인 할때의 계정 입니다.)

- ln 홍: 성

- fn 길동: 이름

- display 홍길동: 표시되는 이름

-pwd 1234567890: 홍길동 계정의 패스워드 설정입니다.

-mustchpwd yes: 기본 패스워드 설정이기 때문에, 다음 로그온 시 반드시 암호를 변경하기 위한 옵션

AD 서버에서 사용자 설정 시 암호 정책 요구 사항에 맞지 않다는 메시지가 발생할 경우

AD 서버에서 AD 사용자 계정 생성 시 그룹 정책을 받는 것이 아니라면, 로컬 정책의 영향을 받습니다.

그래서 그룹 정책을 수정해도 암호 정책 요구 사항이 발생할 경우 로컬 정책을 한번 확인해 보세요.

옵션 중 "암호는 복잡성을 만족해야 함"을 사용 안 함으로 하시면 됩니다.

해당 사항의 의미는 사용자 생성 시 기본 암호를 쉽게 생성하려니 해당 규칙과는 상반되기 때문에 저는 로컬에서는 해당 옵션을 해지하여 사용합니다.

Active Directory에서 그룹 정책을 사용하여 관리할때 기본으로 생성된 정책이 있습니다.

• Default Domain Policy
• Default Domain Controller Policy

정책입니다.

이 정책은 말 그대로 기본 도메인 정책과 기본 도메인 컨트롤러 정책이기 때문에 절대 삭제되어서는 안됩니다.

만약 어떠한 이유로 해당 정책이 삭제 되었다면 아래 방법을 통해 기본값으로 재 생성하는것은 가능합니다.

기본 도메인 정책(Default Domain Policy) 또는 기본 도메인 컨트롤러 정책(Defaul Domain Controller Policy) 중 하나가 삭제되면 Enterprise Admin그룹의 구성원으로 로그인 후 명령 프롬프트에서 아래의 명령어를 입력하면 기본 도메인 정책과 기본 도메인 컨트롤러 정책을 재 생성 해 줍니다.

도메인 컨트롤러 정책 초기화 설정

C:\Windows\system32>dcgpofix

Microsoft(R) Windows(R) 운영 체제 기본 그룹 정책 복원 유틸리티 v5.1

Copyright (C) Microsoft Corporation. 1981-2003

설명:  도메인의 기본 GPO(그룹 정책 개체)를 다시 생성합니다.

구문:  DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]


이 유틸리티는 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책을
도메인 작성 직후 상태로
복원합니다. 이 작업을 수행하려면 도메인 관리자여야 합니다.

경고: GPO의 모든 변경 내용을 잃게 됩니다. 이 유틸리티는
매우 중대한 문제를 복구할 목적으로만 사용해야 합니다.

다음 도메인의 기본 도메인 정책 및 기본 도메인 컨트롤러 정책을 복원하려고 합니다.
domain.co.kr
계속 진행하시겠습니까: <Y/N>? y
경고: 이 작업은 선택한 GPO에서 모든 '사용자 권한 지정'을 대체합니다. 그 결과로 일부의 서버 응용 프로그램이 올바르게 작동하지 않을 수 있습니다. 계속 진행하시겠습니까: <Y/N>? y
기본 도메인 정책을 복원했습니다.
참고: 기본 도메인 정책의 내용만 복원되었습니다. 이 그룹 정책 개체에 대한 그룹 정책 연결은 변경되지 않았습니다.
기본적으로 기본 도메인 정책은 도메인에 연결됩니다.

기본 도메인 컨트롤러 정책을 복원했습니다.
참고: 기본 도메인 컨트롤러 정책의 내용만 복원했습니다. 이 그룹 정책 개체에 대한 그룹 정책 연결은 변경되지 않았습니다.
기본적으로 기본 도메인 컨트롤러 정책은 도메인 컨트롤러 OU에 연결됩니다.


C:\Windows\system32>

도메인 컨트롤러 정책 초기화 설정: 도메인 정책만 적용

C:\Windows\system32>dcgpofix /target:domain

Microsoft(R) Windows(R) 운영 체제 기본 그룹 정책 복원 유틸리티 v5.1

Copyright (C) Microsoft Corporation. 1981-2003

설명:  도메인의 기본 GPO(그룹 정책 개체)를 다시 생성합니다.

구문:  DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]


이 유틸리티는 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책을
도메인 작성 직후 상태로
복원합니다. 이 작업을 수행하려면 도메인 관리자여야 합니다.

경고: GPO의 모든 변경 내용을 잃게 됩니다. 이 유틸리티는
매우 중대한 문제를 복구할 목적으로만 사용해야 합니다.

다음 도메인의 기본 도메인 정책을 복원하려고 합니다.
domain.co.kr
계속 진행하시겠습니까: <Y/N>? y
경고: 이 작업은 선택한 GPO에서 모든 '사용자 권한 지정'을 대체합니다. 그 결과로 일부의 서버 응용 프로그램이 올바르게 작동하지 않을 수 있습니다. 계속 진행하시겠습니까: <Y/N>? y
기본 도메인 정책을 복원했습니다.
참고: 기본 도메인 정책의 내용만 복원되었습니다. 이 그룹 정책 개체에 대한 그룹 정책 연결은 변경되지 않았습니다.
기본적으로 기본 도메인 정책은 도메인에 연결됩니다.


C:\Windows\system32>

도메인 컨트롤러 정책 초기화 설정: 도메인 컨트롤러 정책만 적용

C:\Windows\system32>dcgpofix /target:dc

Microsoft(R) Windows(R) 운영 체제 기본 그룹 정책 복원 유틸리티 v5.1

Copyright (C) Microsoft Corporation. 1981-2003

설명:  도메인의 기본 GPO(그룹 정책 개체)를 다시 생성합니다.

구문:  DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]


이 유틸리티는 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책을
도메인 작성 직후 상태로
복원합니다. 이 작업을 수행하려면 도메인 관리자여야 합니다.

경고: GPO의 모든 변경 내용을 잃게 됩니다. 이 유틸리티는
매우 중대한 문제를 복구할 목적으로만 사용해야 합니다.

다음 도메인의 기본 도메인 컨트롤러 정책을 복원하려고 합니다.
domain.co.kr
계속 진행하시겠습니까: <Y/N>? y
경고: 이 작업은 선택한 GPO에서 모든 '사용자 권한 지정'을 대체합니다. 그 결과로 일부의 서버 응용 프로그램이 올바르게 작동하지 않을 수 있습니다. 계속 진행하시겠습니까: <Y/N>? y
기본 도메인 컨트롤러 정책을 복원했습니다.
참고: 기본 도메인 컨트롤러 정책의 내용만 복원했습니다. 이 그룹 정책 개체에 대한 그룹 정책 연결은 변경되지 않았습니다.
기본적으로 기본 도메인 컨트롤러 정책은 도메인 컨트롤러 OU에 연결됩니다.


C:\Windows\system32>

일반적으로 도메인 사용자 계정은 10대까지만 도메인 참여가 가능하다고 합니다.

옵션 설정으로도 10번으로 되어 있네요~

해당 숫자를 0으로 줄이시면 아무도 AD에 JOIN이 불가능 합니다.

JOIN 수를 0으로 하면 권한이 있는 사람만이 JOIN이 가능합니다.

방법을 알고 싶으시다면 아래 게시글 확인 하시기 바랍니다.

https://dirt-spoon.tistory.com/130