Active Directory 실습 3편 - AD 사용자 및 그룹 관리 + AGDLP 전략

이전 글 보러 가기

 

이번 글에서는 AD 환경에서 사용자와 그룹을 어떻게 관리하는지, 그리고 Microsoft가 권장하는 AGDLP 그룹 구성 전략을 기반으로 권한을 체계적으로 위임하는 방법을 정리해 보겠다.

조직 단위의 보안, 효율적인 관리 측면에서 그룹 설계는 핵심적인 요소이다. 

---

1. 사용자 계정 및 그룹 생성하기

Active Directory 사용자 및 컴퓨터(ADUC)를 통해 사용자 계정과 다양한 그룹(글로벌, 도메인 로컬, 유니버셜 그룹)을 생성하였다. 

 

사용자 계정 생성하기

• 사용자 이름 : ahhyun
• 사용자 로그인 : ahhyun@domain_name.com
• 비밀번호 : Password1234
• 설정 : 사용자 계정 생성 시 다음 로그인 시 비밀번호 변경 항목을 해제

해당 계정은 도메인 사용자로 등록되었으며, 이후 그룹에 소속시키고 권한을 부여하는 데 활용했다. 

 

그룹 생성하기

• 글로벌 그룹 : 동일 조직 내 사용자 관리에 활용
• 도메인 로컬 그룹 : 특정 자원 (공유 폴더 등)의 접근 권한 제어
• 유니버셜 그룹 :포리스트 내 여러 도메인에서 사용 가능

이러한 그룹들은 AGDLP 전략 구성 시 핵심 역할을 수행한다. 

 

 

 

 

 

 

---

2. 도메인 사용자 로그인 확인하기

도메인 사용자 계정 ahhyun으로 클라이언트 로그인하였다. 기존 로컬 계정과는 다른 도메인 전용 프로필이 생성되었고, 이는 도메인 사용자 환경이 정상적으로 작동하고 있음을 의미한다. 

• 로컬 계정 : WINCLIENT\WINCLIENT
• 도메인 계정 : domain_name\ahhyun

---

3. 공유 폴더 만들기

도메인 사용자에게 권한을 부여하기 위한 자원으로, Windows Server에서 공유 폴더를 생성하였다. 

 

1. C:\ 하위에 새로운 폴더 생성

2. 해당 폴더의 속성 > 공유 > 고급 공유

3. 공유 이름 설정 후 권한 버튼 클릭

4. 이후 도메인 그룹을 추가하고 읽기/변경 권한 설정

 

이 과정은 개별 사용자에게 직접 권한을 부여하는 것이 아닌, 그룹 단위로 자원 접근을 제어하기 위한 기반 작업이다. 

 

 

---

4. AGDLP 그룹 구성 전략 실습

Microsoft Active Directory 환경에서 AGDLP (Account => Global => Domain Local => Permission) 구조를 권장한다. 

이 전략은 사용자의 권한을 일일이 개별 설정하지 않고, 그룹 간 계층 구조를 활용해 체계적으로 관리할 수 있게 해 준다. 

 

1. 도메인 로컬 그룹을 공유 폴더에 연결하였다.  (권한 부여)

2. 글로벌 그룹을 도메인 로컬 그룹에 포함시켰다. 

3. 사용자 계정을 글로벌 그룹에 포함시켰다. 

 

이렇게 구성하면 사용자가 직접 자원에 접근 권한을 받지 않아도, 소속된 그룹을 통해 간접적으로 권한을 상속받게 된다.

조직 내 사용자가 많을수록 이 구조는 더 강력한 도구가 된다. 

 

 

 

 

 

---

5. 사용자 프로파일 실습

도메인 사용자 로그인 후 C:\Windows에서 샘플 파일을 도메인 사용자 환경에 복사하였다. 

같은 PC에서 로컬 계정과 도메인 계정은 완전히 분리된 사용자 프로파일을 사용하며 서로의 바탕화면, 다운로드, 설정 등은 공유되지 않았다. 

이는 실제 조직에서 다수의 사용자가 동일한 장비를 사용하더라도 독립적인 환경을 유지할 수 있음을 보여주는 예시이다. 

---

6. 마무리

이번 실습을 통해 Active Directory 환경에서 사용자와 그룹을 효율적으로 관리하는 방법을 학습했다.

특히 Microsoft의 AGDLP 전략을 기반으로 한 그룹 설계를 적용해 봄으로써, 실무에서 요구되는 보안성과 관리 효율성을 동시에 충족시키는 방법을 이해할 수 있었다. 

이는 규모가 더 커질수록 빛을 발하는 전략이며, AD 환경 설계의 기본이 되는 중요한 개념이다. 

 

다음 편에서는 Active Directory 환경에서 그룹 정책을 설정하고 적용하는 방법을 다뤄보겠다. 

 

 

다음 글 보러 가기

 

 

이 블로그는 불법 해킹 및 악의적인 활동을 지양하며, 그런 행위는 절대 권장하지 않습니다.

모든 실습은 허가된 환경에서만 진행해야 하며, 법적 책임은 사용자 본인에게 있습니다.