Active Directory Group

Active Directory Group

Active Directory 그룹정책을 사용하기 위해서는 그룹의 종류나 범위를 알아야 할 필요가 있다.

그룹이나 계정을 이용하여 권한을 할당 하고 자원의 리소스 활용 범위를 조절할 수 있다.

 

Active Directory의 그룹

그룹범위 

-글로벌 그룹 : 같은 도메인의 컴퓨터 또는 사용자, 글로벌 그룹 가입 가능
               포리스트의 도메인 또는 다른 트러스트 관계인 도메인에서 권한을 부여 받을 수 있다.
               다른 도메인으로 갈 수 있다

-도메인 로컬 그룹 : 전체 포리스트 내에서 모든 도메인 계정과 글로벌 그룹 가입 가능
                    트러스트 관계인 다른 도메인에 있는 계정도 가입 가능
                    자신이 속한 도메인에서만 권한을 부여 받을 수 있다
                    도메인 로컬 그룹을 생성한 도메인의 자원에만 권한을 부여 할 수 있다.
                    다른 도메인으로 갈 수 없다

-유니버셜 그룹 : 모든 도메인의 계정 가입 가능
                 모든 도메인의 리소스에 권한 할당 가능
                 글로벌 그룹을 묶기 위해 사용
                 유니버셜 그룹 안의 모든 사용자 정보는 GC에 저장 된다.

그룹종류

• 보안 : 권한을 할당 할 수 있는 그룹
• 배포 : 권한을 할당 할 수 없는 그룹

 

그룹범위	포함할 수 있는 개체	포함할 수 있는 개체 - 기본모드	멤버가 될 수 있는 개체 (두 작동 모드를 합쳐)	권한을 줄 수 있는 범위
도메인 로컬	모든 도메인의 사용자 및 글로벌 그룹	모든 도메인의 사용자, 글로벌 그룹, 유니버셜 그룹과 동일 도메인의 도메인의 도메인 로컬 그룹	동일 도메인의 도메인 로컬	도메인 로컬 그룹이 존재하는 도메인 내에서만
글로벌	동일한 도메인 내의 사용자	동일한 도메인 내의 사용자 및 글로벌 그룹	모든 도메인의 도메인 로컬 그룹과 유나버셜 그룹 동일 도메인의 글로벌 그룹	포리스트 내의 모든 도메인
유니버셜	적용되지 않음	모든 도메인의 도메인 로컬 그룹과 유니버셜 그룹 동일 도메인의 글로벌 그룹	모든 도메인의 도메인 메인 로컬 그룹과 유니버셜 그룹