13-4-2. AD관리-권한 위임 Windows Networking2008. 11. 23. 01:32
Active Directory의 권한위임 기능은 관리작업에 대한 효율성을 극대화 시킬 수 있는 방법이다. 앞에서 OU의 용도에 대해서 언급한 바 있다. 이 하나의 단위 덕분에 NT4.0에서 여러 개의 도메인으로 어쩔수 없이 구성해야만 했던 많은 상황들이 Active Directory에서는 하나의 도메인으로 통합을 할 수도 있는 환경을 제공하게 되었다.
상황은 다음과 같다. Windowsnetwork.msft은 미국, 일본 등지에 지사를 가지고 있는데, 미국지사에 인사권이 별도로 있어서 직원의 인사가 직접 이루어지고 있다. 서울의 본사에서는 미국에서 근무하는 사용자들에 대한 계정관리를 미국에 있는 담당자 하나를 임명해서 맡기고자 한다. 새로운 직원이 들어오면 계정을 만들어 주고, 직원이 퇴사하면 계정을 삭제하고, 사용자들이 몇 차례 패스워드를 잘못 입력하여 잠긴 계정을 풀어주는 등의 계정관리를 미국지사에서 처리하도록 하고자 하는 것이다. 이와 같은 작업을 처리하기 위해서 NT4.0때는 미국지사를 위한 별도의 도메인을 생성해야만 했다. 계정관리를 할 수 있도록 미국지사의 사용자 하나를 ‘Account operators’ 그룹의 멤버로 포함시켜 주면 미국의 계정관리를 하게 할 수는 있었지만, 문제는 이 사용자가 관리자가 원하지 않는 일본지사나 본사의 계정까지도 관리가 가능해 지기 때문에 제한적인 권한을 부여하는 것이 불가능했기 때문이다. 계층적인 관리구조가 제공되지 못했기 때문이었다.
권한위임의 방법은 이와 같은 경우에 최상의 솔루션이 될 수 있다. 다음과 같은 절차를 거쳐서 접근할 수 있다. <그림13-55>을 보면 ‘전체조직’이라는 OU가 있고 하위에는 ‘미국’OU를 포함한 몇 개의 지사별로 구분해 놓은 OU들이 있다. 미국OU를 열어보니 몇 개의 그룹과 사용자계정이 보인다. 예제의 상황에서는 미국OU에 있는 ‘
|
|
ADUC관리콘솔을 통해 관리를 위임하고자 하는 곳을 클릭한다. |
|
|
‘미국’OU를 마우스 오른쪽 클릭하여 ‘제어위임’메뉴를 선택한다. |
|
|
‘사용자 또는 그룹’화면에서 [추가]버튼을 눌러서 관리를 위임받을 사용자 또는 그룹을 찾아서 추가한다. 다음의 ‘위임할 작업’화면에서는 ‘다음 일반 작업을 위임’과 ‘위임할 사용자 정의 작업 만들기’의 두개의 라디오 버튼을 볼 수 있다. 기본선택된 위의 버튼은 이미 정의된 많이 사용할 만한 관리작업들이 나열되어 있다. |
|
|
위의 작업만으로 만족할만한 관리의 위임을 시키지 못할 경우, 예를 들면 사용자 계정을 생성할 수 있게 하고 싶지만 삭제는 하지 못하게 하기를 원한다거나 하는 경우는 아래의 ‘위임할 사용자 정의 작업 만들기’를 클릭하고 [다음]으로 진행하여 직접 보다 제한적인 작업을 결정해 줄 수도 있다. 예제에서는 기본설정을 두고 [다음]버튼을 눌렀다. |
|
|
제어 위임 마법사가 완료되었음을 보여주는 화면이다. 내용을 잘 살펴보면 정보를 잘 요약해 주고 있다. |
위와 같이 권한 위임을 마친다음 테스트를 해 보았다. 권한을 위임받은 ‘
<그림13-60. 권한 위임 구성 6>
