블로그 이미지
System Neophyte

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    

Notice

2008.03.07 14:14 Windows Server

오래전 부터 쓴다 쓴다는 팁이 갑자기 생각나서 올려봅니다.


업체 나가서 작업을 하다보면 서버 구축이나 이런 저런 상황을 겪을수 있습니다.

예를 들면 원격으로 작업하고있는데 다른 컴퓨터에 컴퓨터의 mstsc로 접속 할때

해당 컴퓨터가 설정이 다음과 같다면

원격으로 접속 할수가 없습니다. 해당 서버에 가서 원격 데스크톱을 체크를 해야겠지요.


그럴때 다음과 같은 편법을 쓸수 있습니다.

*주의 방화벽이 설정 되어 있으면 대략 난감입니다.

제일 좋은 상황은 도메인 가입된 멤버 서버들일때가 가장 좋습니다. 추가Dc 자식 Dc일때도 상관 없겠지요.

가정한 상황은 이렇습니다.

Time1 서버와 Time2 서버는 Dc들입니다. 한데 Time2서버에 문제가 있어서 원격 데스크톱으로 볼려고 하니

저체크 박스를 하지 않았을때입니다.

일단 Time1 서버에서 시작-실행-regedit를 실행합니다.

메뉴에서 파일에서 네트워크 레지스트리 연결을 선택합니다.

해당 서버를 입력합니다.

확인을 클릭합니다.


다음의 경로를 찾아갑니다.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

거기서 다음 값을 찾아봅니다.

"fDenyTSConnections"=dword:00000000

더블 클릭을 합니다.

해당 값을 1이 아닌 0으로 변경합니다. 레지스트리 키값에 보통은1 은 거부 0은 허용 입니다.

그리고 나서 확인을 누르고 time2서버에 가서 보면

다음과 같이 변경 되었음을 알수 있습니다.

활용 방안으로는 해당 레지스트리 값을 이용해서 그룹 정책으로 내려도 되겠죠.

bat 파일로 만들어서 해당 내용에는 regedit -s enable_mstsc.reg로 내려도 됩니다.

여기서 -s옵션은 보이지 않게 입니다.

그러면 사용자들의xp는 자동으로 저 체크박스에 체크가 되겠지요.

신고
posted by System Neophyte
2008.03.07 11:38 Windows Server

AD를 쓰다가 보면 하나의 PC에 여러게의 도메인 유저스가 들어갈수 있습니다.

왜냐면 로그인 인증을 도메인 서버에서 받아 오기 때문입니다.

이렇게 하다보면 프로필들이 여러개가 생기게 되고, 또한 어떠한 분들은

해당 PC에는 해당 사용자 계정으로만 로그인 하게 해달라는 요청을 받습니다.

방법론이야 많겠지만 가장 쉬운 방법을 알려 드립니다.


일반적으로 AD를 쓰시는데를 보시면 사용자들에게는 로컬 어드민 권한을 부여합니다.

그 정책을 이용한 가장 쉬운예입니다.

gpmc.msc 또는 시작-실행-dsa그룹정책 편집기를 열어서 해당 OU에 할당하거나 하시면 되겠죠

일단 그룹정책 개체 편집기로 들어와서 보면

컴퓨터 구성-Windows 설정-로컬정책-사용자 권한 할당-로컬로그온 할당

로컬 로그온 허용에서

로컬 administrators그룹에 포함된 사용자만 로그인을 허용하게 됩니다.

실제 반영되면 다음과 같이 됩니다.


로컬 컴퓨터 즉 client 쪽에서는 위의 그림과 같이 되어 있어야 겠죠.

아까 로그인 시도한 실패 사용자는 domain users –ir1223이라는 계정 도메인이에 실제 있는 사용자이고

실제 ir1223이 로컬 어드민이 아니기 때문에 해당 컴퓨터에 로그인 되지 않습니다.


신고
posted by System Neophyte
2008.03.03 17:43 Trouble Shooting

AD를 쓰다보면 사용자들이 알수 없는 이유로? 로그인을 할 수 없을때..

로그인 할때 어떠한 동작이 일어나는지 로그 남기는  방법입니다. Ad 조인에 문제가 있거나 할때 도움이 되는

유용한 방법입니다만.. 로그가 많이 남아서 눈이 빠질경우도 있습니다.^^


클라이언트쪽 또는 해당하는 서버 Regedit.msc를 실행합니다.


실행한다음 아래와 같은 경로로 찾아갑니다.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

새값을 만듭니다.



Dword값에 UserEnvDebugLeve로 설정하고 값을 다음과 같은 값을 넣어줍니다.


값은 다음과 같이 다양하게 넣을수 있으나

NONE 0x00000000
NORMAL 0x00000001
VERBOSE 0x00000002
LOGFILE 0x00010000
DEBUGGER 0x00020000

가장 확실하게 분석을 하고 싶다면 30002라는 값을 넣어줍니다. 가장 자세한 로그를 남기게 됩니다.

개인적으로는 30002가 가장 낫습니다.


저장하고 리부팅을 하게 되면

클라이언트 쪽에서 다음과 같은 경로에

userenv로그가 보이게 되고

해당 로그를  보다보면 알쌍한?내용들을 만나게 됩니다.
해당 내용을 보다 보면 DNS 문제인지 아니면 GPO문제인지 이런 알쌍한 내용들을 보게 됩니다.

신고
posted by System Neophyte
2008.02.20 15:42 Windows Server

사용자들이 실행 되는 서비스 항목의 접근 제어.

DC 서버에서 dsa.msc를 실행하고 속성을 클릭합니다.

등록정보에서 그룹정책 탭을 선택하신 다음

새로 만들기를 클릭하셔서 해당 그룹 정책에 대한 이름을 적절히 입력합니다.

그리고 난뒤 편집을 클릭합니다.

다음을 찾아 갑니다.

컴퓨터구성-보안설정-시스템서비스 항목을 보시게 되면 실제 컴퓨터에서 도는 Services항목들이 보이시게 됩니다.

해당 하는 정책을 클릭 합니다. 여기서 예를 들어볼 서비스는 자동업데이트(윈도우 자동 업데이트 관련 서비스)서비를 예를 들어 보겠습니다.

해당 자동 업데이트 등록 정보를 보시게 되면

다음과 같이 설정을 합니다.

이 정책 설정 정의 자동 실행

보안 편집을 클릭합니다.

보안 편집을 클릭하게 되면 권한 관련 창이 나오게 됩니다.

추가를 누르셔서 Domain users그룹을 포함 시켜 줍니다. 여기서 시작-중지 및 일시 중지 권한을 거부를 선택을 합니다.

확인을 눌러 종료 합니다.

해당 정책을 반영 하시게 되면..

클라이언트 쪽에서는 다음과 같이 반영이 됩니다.

주의 사항

해당 서비스에 대한 접근 권한이 없게 되므로 실행 및 중지가 되지 않습니다.

예를 들어 해당 그룹 정책을 내리기 전 서비스를 중지 하였고 그 이후에 그룹 정책을 받았다면,

해당 사용자는 서비스를 실행도 중지도 되지 않는다는 것을 꼭 명심 하여 주시기 바랍니다.

사용자들이 시스템 서비스 관련 그룹 정책.

신고
posted by System Neophyte
2008.01.30 14:23 Windows Server

응용프로그램 설정 변경 시 레지스트리 변경 값 찾아서 GPO설정 하는 방법 입니다.

누구나 할수있습니다. 참고하시기 바랍니다.

Regmon보다는 효율적입니다.

1. 첨부된 프로그램을 압축을 해제 합니다.

2. 프로그램을 설치 합니다.

3. 레지스르리를 실행하여 내보내기 합니다.

4. TXT파일로 저장 합니다.

5. 응용프로그램 설정을 변경 합니다. 예로 인터넷 설정을 변경 합니다.

6. 레지스르리를 실행하여 내보내기 합니다.

7. TXT파일로 저장 합니다.

8. WinMerge를 실행 하여 적용전 파일과 적용후 파일을 등록 합니다.

9. Winmerge의 좌측화면에 노란선 부근에서 변경된 문자를 찾으면 레지스트리의 변경된 값을 찾을 수 있다.

10. 변경된 부분을 레지스트리에서 내보내기 한다.

11. Reg파일을 관련된 항목을 제외하여 편집 한다

12. GPO에 적용하는 방법

l 배치 파일 만드는 방법

n 바탕화면에서 마우스 오른쪽 클릭 새로 만들기 텍스트 문서 만들기를 선택한다.

n 새 Text문서를 클릭하셔서 다음을 입력 한다.

Regedit –s SyncMode5.reg (여기서 SyncMode5.reg 는 수정 할 레지스트리 값을 내보낸 값.)

n 저장을 하실 때 다른 이름 저장하시고 파일이름은 *.bat 형식 파일형식은 모든 파일 인 코딩은ANSI로 저장을 한다.

n BAT파일을 편집으로 열어서 내용을 확인 한다..

l 그룹 정책 설정 방법

n 시작-실행-gpmc.msc를 실행한다.

n 해당 GPO를 선택한 후 Edit를 클릭 한다.

n 컴퓨터 구성에 Windows 설정에서 스크립트를 선택한 후 시작 프로그램을 선택하고 마우스 오른쪽 클릭 속성을 클릭 한다.

n 시작 프로그램 등록 정보 창이 나오게 되고 거기서 추가를 클릭 한다.

n 스크립트 추가 에서 찾아보기를 클릭 한다.

n 해당 창이 열린 상태에서 만들어 놓은 SyncMode5.bat, SyncMode5.reg 를 카피해서 붙여 넣고 SyncMode5.bat 를 파일을 선택 한다.

n 스크립트 추가에서 확인을 클릭 한다.

n 시작 프로그램 등록 정보에서 확인을 클릭 한다.

n 클라이언트를 재 부팅하여 응용프로그램 설정을 확인 한다.

n 만약 일부 클라이언트만 적용이 필요하다면 클라이언트에 REG파일을 복사한 후 적용 하면 된다.

신고
posted by System Neophyte
2008.01.24 16:35 Windows Server

해당 도메인을 선택 마우스 우클릭 속성을 선택합니다.

해당 메뉴에서 그룹정책을 클릭 새로 만들기 클릭 하고 난뒤

새 정책에 적절한 이름을 넣어줍니다.

그리고 난 뒤에 편집을 클릭합니다.

그룹정책 화면이 보입니다.

컴퓨터구성-Windows 설정-보안설정-로컬정책-감사정책-개체 엑세스 감사를 클릭합니다.

설정을 다음과 같이 설정합니다.

그룹정책에 대한 설정은 끝나고 이제 공유 폴더에 관한 설정을 하는 부분입니다.

폴더를 하나 만드신 다음 해당 폴더를 마우스 우클릭 속성을 선택합니다.

선택하신다음 공유탭에서 사용권한을 선택합니다.

공유를 할 사용자를 적절히 추가합니다.

보안탭을 선택한 다음 해당 사용자나 그룹을 추가합니다.

다음 고급 버튼을 클릭합니다.

추가 사용자를 누르게 되면 사용자 및 그룹을 선택하는 화면이 나오게 되고

적절한 사용자나 그룹을 넣어줍니다 넣어주고 나서 확인을 클릭 하게 되면

다음과 같은 화면을 볼 수가 있습니다.

파일 만들기 /데이터 쓰기

폴더 만들기/ 데이터 추가 항목에 체크를 하고 확인을 클릭합니다.

실제 이벤트 뷰어에서는 보안 로그에서 576,540부분에 대해서 확인 할 수 있습니다.

이벤트 ID 576에 대한 특수 권한

이벤트 ID 540 공유폴더에 접근한 사용자

참고사항 http://www.microsoft.com/korea/technet/security/topics/serversecurity/tcg/tcgch03n.mspx

신고
posted by System Neophyte
prev 1 next