해당 시리즈에서는 AD 서버를 이용한 하이브리드 구조의 M365 테넌트 를 직접 구축해보도록 합니다.

본 포스팅에서는, allways365.com 도메인의 AD에 OU / 사용자 / 그룹을 구성해봅니다.

개요

Active Directory 는 네트워크 자원을 통합하여 중앙 관리자가 관리할 수 있는 시스템입니다.
사용자 계정, 디바이스 등의 자원을 추가하고, 정책 등을 통해 자원을 제어 및 관리할 수 있습니다.

OU, 사용자, 그룹 모두 다음 방법을 통해 생성 및 관리가 가능합니다.

• Active Directory 사용자 및 컴퓨터 도구
• Powershell
• cmd

OU

OU(Organizational Unit, 조직 구성 단위)란 Active Directory 도메인 내 최소 단위에 해당됩니다.

Active Directory 사용자 및 컴퓨터 도구

ADDS 설치 시, 함께 설치되는 “Active Directory 사용자 및 컴퓨터 도구” 툴을 통해 GUI 환경으로 OU 관리가 가능합니다.

Powershell

Powershell 명령어를 이용해, OU의 생성/삭제/수정 등의 작업을 일괄적으로 진행할 수 있습니다.

1
2
Get-ADOrganizationalUnit -Identity "OU=00000,DC=ALLWAYS,DC=COM" | fl
Get-ADOrganizationalUnit -Filter "name -notlike 'Domain Controllers'"

Get-ADOrganizationalUnit 명령어를 통해, 도메인 내 OU 리스트를 가져올 수 있습니다.

1
New-ADOrganizationalUnit -Name "00000" -Path "DC=allways365,DC=com"

New-ADOrganizationalUnit 명령어를 통해, 새로운 OU를 생성할 수 있습니다.

1
Set-ADOrganizationalUnit -Identity "OU=00000,DC=allways365,DC=com" -ProtectedFromAccidentalDeletion $false

Set-ADOrganizationalUnit 명령어를 통해, 기존에 생성한 OU를 수정할 수 있습니다.

1
2
Remove-ADOrganizationalUnit -Identity "OU=00000,DC=allways365,DC=com"
Get-ADOrganizationalUnit -Filter "name -eq '00000'" | Remove-ADOrganizationalUnit

Remove-ADOrganizationalUnit 명령어를 통해, 특정 OU를 삭제할 수 있습니다.

간혹가다 OU가 삭제되지 않고 오류를 반환하는 경우가 있습니다.
이는 해당 OU가 삭제되지 않게끔 설정되어 있기 때문으로, Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $false 를 통해 설정 변경 후 삭제가 가능합니다.

cmd

Powershell과 유사하게, cmd 명령어를 통해서도 OU 관련 작업이 가능합니다.

1
dsadd ou OU=00000,DC=ALLWAYS,DC=COM

dsadd ou 명령어를 통해, OU 생성이 가능합니다.
그 외에도 dsmod ou, dsrm 와 같은 명령어를 통해 OU 관리가 가능합니다.

사용자

도메인의 특정 OU 안에 사용자 계정을 추가 및 관리할 수 있습니다.

Active Directory 사용자 및 컴퓨터 도구

“Active Directory 사용자 및 컴퓨터 도구” 툴을 통해 GUI 환경으로 사용자 관리가 가능합니다.

Powershell

Powershell 명령어를 이용해, 사용자의 생성/삭제/수정 등의 작업을 일괄적으로 진행할 수 있습니다.

1
Get-ADUser -Filter "UserPrincipalName -like '*@allways365.com'"

Get-ADUser 명령어를 통해, 원하는 사용자 정보를 조회할 수 있습니다.

조회 시, 기본적으로 계정의 모든 AD 속성이 나오지 않으므로
Get-ADUser -Properties * 와 같이 옵션을 주어야 합니다.

1
New-ADUser

New-ADUser 명령어를 통해 새로운 사용자 계정을 생성할 수 있습니다.

별도 옵션을 주지 않는 경우, 계정이 비활성화 된 상태로 생성되므로
활성화 된 계정 생성 필요 시 New-ADUser -Enabled $true 의 옵션을 지정해야 합니다.

1
Set-ADUser -Identity "tech.kim" -Replace @{mail="tech.kim@allways365.com"}

Set-ADUser 명령어를 통해, 사용자 속성 정보를 변경할 수 있습니다.

1
Remove-ADUser -Identity "tech.kim"

Remove-ADUser 명령어를 통해, 사용자 계정을 삭제할 수 있습니다.

cmd

cmd 명령어를 통해서도 사용자 관련 작업이 가능합니다.

1
dsadd user CN=test,OU=Users,OU=00000,DC=allways365,DC=com -disabled no

dsadd user 명령어를 통해, OU 생성이 가능합니다.
그 외에도 dsmod ou, dsrm 와 같은 명령어를 통해 OU 관리가 가능합니다.

그룹

도메인의 특정 OU 안에 그룹을 추가 및 관리할 수 있습니다.

그룹은 크게 두 가지 카테고리로 나뉩니다.

• 보안(Security)
  • AD 에서 그룹핑을 위해 일반적으로 사용되는 그룹
• 배포(Distribution)
  • Exchange 서비스를 위해 사용되는 그룹

각 카테고리 내에서, 그룹은 다음과 같은 범주로 구분됩니다.

• 글로벌 그룹(Global)
• 도메인 로컬 그룹(Domain Local Group)
• 유니버셜 그룹(Universal Group)

Active Directory 사용자 및 컴퓨터 도구

“Active Directory 사용자 및 컴퓨터 도구” 툴을 통해 GUI 환경으로 그룹 관리가 가능합니다.

Powershell

1
2
Get-ADGroup -Identity "all"
Get-ADGroup -Filter "GroupCategory -eq 'Security' -and GroupScope -eq 'Global'"

Get-ADGroup 명령어를 통해, 그룹을 검색 및 조회할 수 있습니다.

1
New-ADGroup -Name "all" -Path "OU=Groups,OU=00000,DC=allways365,DC=com" -GroupCategory Security -GroupScope Global -DisplayName "AllWays365-전체" -Description "AllWays365-전체" -SamAccountName "all"

New-ADGroup 명령어를 통해, 새 그룹을 생성할 수 있습니다.

1
Get-ADGroup -Filter "name -like 'all' | Set-ADGroup -Description "All Group"

Set-ADGroup 명령어를 통해, 기존 그룹을 수정할 수 있습니다.

1
Remove-ADGroup -Identity "all"

Remove-ADGroup 명령어를 통해, 원하는 그룹을 삭제할 수 있습니다.

cmd

cmd 명령어를 통해서도 그룹 관련 작업이 가능합니다.
dsadd group, dsmod group, dsrm 과 같은 명령어를 통해 그룹 관리가 가능합니다.