Windows Server 2012 - NTFS/DFS

 

 

 

NTFS(New Technology File System)

1. Permission : 리소스에 대한 접근권한, Action on Object
파일, 폴더, 프린터와 같은 개체에 적용되는 속성
개체 속성 -> 보안 탭에서 설정

2. Right : 시스템에 대한 변경권한, Action on System
도메인이나 로컬컴퓨터에 적용되는 속성
그룹정책(gpedit.msc, gpmc.msc) -> 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정
 -> 로컬 정책 -> 사용자 권한 할당 -> 보안 옵션 항목에서 구성


[ Permission ]

암시적인(상속받은) 퍼미션 vs 명시적인 퍼미션
Implicitly Permission Explicitly Permission
Allow + Revoke Allow + Deny
회색 : 수정 불가 검정색 : 수정 가능

1) Allow : 권한을 준 경우(grant)
2) Deny : 권한을 거부한 경우
3) Revoke : 권한 설정을 하지 않은 경우

소유권
소유자는 개체에 대해서 어떻게 사용권한을 설정할 것인지 

누구에게 권한을 부여할 것인지 제어가 가능하다.
소유자는 접근거부여도 개체에 대해 사용권한을 변경 가능 (ACL, ACE 편집 가능)


Administrators
모든 권한이 부여된 구성원
NTFS 볼륨상에 생성되는 폴더나 파일들에 대해 기본적으로 모든 권한

CREATOR OWNER
해당 폴더나 파일을 만든 소유주를 자동으로 포함하는 그룹
ex) userA가 Data 폴더를 만들었다면 userA는 Data폴더를 만든 소유쥬 -> CREATOR OWNER의 구성원이 된다.
폴더의 소유주는 자신의 폴더에 대해 모든 권한을 가지게 된다. 

특정 권한은 특수 NTFS 사용 권한의 모음이다.

SYSTEM
Windows Server 2012이 내부적으로 사용하는 계정이며

모든 권한이 부여되어 있다.
Windows Server 2012이 NTFS 볼륨상의 모든 폴더나 파일에 

액세스 할 수 있도록 하기 위해 사용된다.

 

Users
일반 사용자 계정을 포함하고 있는 Users 로컬 그룹에게는 

읽기 및 실행, 폴더 내용 보기, 읽기, 특정 권한 부여
특정 권한에는 폴더 생성 및 파일 생성 권한이 설정되어 있다.
일반사용자들은 기본적으로 NTFS 볼륨상에 생성된 폴더에 하위 폴더나 파일을 생성할 수 없다.
특정 사용자만이 액세스하도록 하기 위해서는 

Users를 제거하고 사용자나 그룹에게 NTFS 권한을 부여


퍼미션의 규칙
1. NTFS 권한은 각 드라이브의 루트에서 시작된다.

NTFS 권한은 각 드라이브에서 따로 적용되므로
NTFS 권한을 부여한 폴더를 다른 드라이브에 옮기면 

해당 NTFS 권한은 초기화 된다.

2. 권한은 누적(cumulative), 상속(inheritance)된다.

3. 거부 권한이 우선된다

4. 직접 적용한 권한이 우선된다
상속받은 권한(암시적)과 직접 적용한(명시적) 권한이 충돌하면 직접 적용한 권한이 사용된다.
Deny가 우선되야 하나 상속받은(암시권한)보다 명시적(직접 적용한) 권한이 우선된다.


C드라이브에 '아버지'폴더 -> 안에 '아들'폴더 생성

 

도메인 바로 밑에 s1 계정 생성
그룹생성 - 권한A, 그룹B 이름으로 생성
권한A, 그룹B에 모두 s1을 구성원으로 추가

 

Acitve Directory 사용자 및 컴퓨터 - 도메인 - Builtin - Account Operators 에 s1을 구성원으로 추가
(이렇게 해주면 원래 DC에서는 일반사용자 계정의 로그인이 불가능하지만 가능하게 된다.)

 

아버지 폴더 보안탭에 들어가서 권한A,권한B 추가 - 적용 - 확인

 

아들 폴더 보안탭에 가보면 권한A,권한B를 상속받은 것을 알 수 있다. 

즉, 상위 개체로부터 받는다.

상속 권한 상속 포기
아버지 폴더 - 속성 - 보안 탭 - 고급 - 왼쪽하단 '상속 사용 안함' - '명시적 사용 권한으로 변환' 클릭

 

아버지 폴더 - 보안 탭 - Users 삭제

 

아들 폴더 - 속성 - 보안 탭 - Users 사라진것 확인

아버지 폴더 - 속성 - 보안 탭 - 편집- 권한A는 3개 권한 그대로, 권한B는 다빼고 쓰기만 설정

로그아웃 - hann\s1 으로 로그인
s1은 권한A와 권한B에 모두 속해 있고, 권한A는 읽기, 권한B는 쓰기 권한 만 있는데
아버지 폴더로 들어가지며(읽기), 그 안에서 새 텍스트 파일 정상 생성(쓰기)가 모두 된다.
즉, 권한은 누적되는 것을 확인 할 수 있다.


아버지 폴더 - 속성 - 보안 탭 - 권한A에서 쓰기거부 옵션 설정 

 

현재 권한B가 쓰기권한을 주고 있으므로 충돌 메세지 나온다.

예 버튼 - 확인 - 확인 - hann\s1으로 로그인 - 아버지폴더 - 새로만들기

거부권한이 우선이기 때문에 인증 창이 나온다.
인증 하면 만들어지는데 삭제를 해보자

마찬가지로 쓰기권한이 거부로 우선이기 때문에

삭제 또한 인증절차를 거쳐야 한다.

다시 hann\administrator로 접속
아들폴더 - 속성 - 보안탭 - 편집 - 권한A의 쓰기가 거부가되어있는데 

수정이 불가능하다. 하지만 쓰기 허용이 비어있으므로 체크해보자

다시 s1 계정으로 로그인 - 아들폴더에 들어가서 새파일 생성 해보자

거부가 우선되서 생성이 안된다.
허용과 거부가 충돌나면 거부가 우선순위가 높다.

아버지폴더 - 속성 - 보안탭 - 고급 - 권한A 쓰기 선택 - 편집

우측상단 '고급 권한표시' - 좀더 많은 옵션이 있다는 것 확인

 

Server128에 새로운 하드디스크 1기가 추가

 

 

실행창 - diskmgmt.msc

 

 

1기가 디스크 확인 - 우클릭 '온라인' - 우클릭 '디스크 초기화'
- 우클릭 '새 단순 볼륨' - 500 - 다음 - 마침

 

남은 부분 우클릭 '새 단순 볼륨' - FAT32 - 다음 - 마침

 

내컴퓨터 - E드라이브 속성 - 보안탭 확인

 

 

F드라이브 속성 - 보안 탭이 안보인다.

 

즉, 보안옵션은 NTFS에서만 가능하다.

하지만 이렇게 작업을 하면 생각할 부분이 너무 많기 때문에
쉽게 작업할 수 있다.
1. 네트워크 권한은 모두 풀어주고 ( Everyone : 읽기, 변경)
2. NTFS 권한으로 세부조정 작업을 진행하면 

권한을 일일이 계산할 필요없이 간단하게 설정이 가능하다.



실습)
c:\관리팀 폴더에는 관리팀 그룹(mnggroup) 모두 접속가능하며
- 읽기, 실행만 가능
- 각 사용자 별(mng1, mng2, mng3) 폴더
- 각 폴더에 알맞는 권한 설정
- 사용자별 폴더에 다른 사용자는 접속이 불가능
- 그룹을 사용하거나 거부권한을 사용해도 무관  

1) 사용자계정생성 (관리팀 사용자 : mng1~4)
2) 공유폴더 생성 및 공유 권한 부여 (c:\관리팀 폴더 공유) everyone 모든권한
3) 그룹생성 후 계정을 구성원으로 추가
> mnggroup 그룹 생성(글로벌 그룹) > mng1~3 추가

4) 폴더 생성 및 NTFS 권한 부여
c:\관리팀\ : mng1~4만 접속가능
c:\관리팀\mng1 : mng1 읽기, 실행
c:\관리팀\mng2 : mng2 수정
c:\관리팀\mng3 : mng3 모든 권한
c:\관리팀\공지사항.txt : mng4 수정, mnggroup은 읽기, 실행

5) client에서 로그온하여 권한부여 테스트
hann\mng1~4


-----------------------------------------------

DFS (Distributed File System) 분산 파일 시스템
서버 (Hosting server)에 논리적인 경로(name space)를 지원하여 네트워크 내에
흩어져있는 공유 폴더들을 1개의 논리적인 이름 구조 아래 통합하여 관리하는 서비스

중앙 집중식 폴더 관리
약한 기능의 보안성
관리 공유 제거시 DFS 작동 안함

DFS 실습

공유중인 폴더 보기
컴퓨터관리 열기
cmd - compmgmt.msc - 공유폴더 - 공유 - $로 숨김공유로 공유되는 것들 확인.

 

DFS를 사용하려면 $로 공유되고 있는 C,E,F 드라이브를 이용해야 한다.
보안상 이렇게 드라이브가 공유되고있으면 좋지않기 때문에 

삭제해주는 것이 좋지만, 대신 DFS는 사용하지 못한다.


server128에서 C드라이브에 DFS_1 이름의 폴더 만들고, everyone으로 읽기 변경 공유

 

Client 200에서 hann/administrator로 로그인

 

C드라이브에 DFS_2 이름의 폴더 만들고, everyone으로 읽기 변경 공유

 

Server128에서 서버관리자 - 역할 및 기능추가 - 파일 및 저장소 서비스(확장)
- 파일 및 iSCSI(확장) - DFS 네임스페이스 기능추가 - 설치 - 닫기

 

 

윈도우키 - 관리도구 - 'DFS관리' 새로 생긴 것 확인

 

 

네임스페이스 우클릭 - 새 네임스페이스

호스팅할 서버 이름 : Server128 - 다음 - 네임스페이스 이름 : Dataroom - 다음 -  
다음 - 만들기 - 닫기 

 

우측의 새 폴더 - 공유 이름 : 128_DFS_1 - 추가 - \\server128\DFS_1 - 확인

 

다시 새폴더 - 공유 이름 : 200_DFS_2 - 추가 - \\Client\DFS_2 - 확인

 

 

Server129로 와서 hann\administrator로 로그인
실행 - \\hann.cloud\Dataroom - 폴더 두개 전부 안에 파일 생성 가능한 것 확인.
즉 DFS로 한곳에 여러 장소의 공유폴더를 모아서 사용이 가능하다.

 

Server128
네임스페이스 삭제


----------------------------------

DFS외에도 네트워크 드라이브와 홈 폴더 라는 기능이 있다.
c드라이브 - 새폴더 : 네트워크드라이브, 홈폴더 - 네트워크드라이브 everyone 읽기변경 공유 

 

Network Drive (네트워크 드라이브)
원격의 공유 폴더를 로컬 드라이브처럼 사용하게 하는 방법 (해당 시스템만)

Network Drive 실습

Client 200
hann\administrator로 로그인

 

파일 탐색기 - 컴퓨터 - 상단바 네트워크 드라이브 연결 - \\server128\네트워크드라이브 - 우클릭 - 연결끊기

------------------------------------

Home Folder (홈 폴더)
사용자가 도메인 내의 어떤 컴퓨터에 접속해도 항상 네트워크 드라이브가 따라다닌다.

Home Folder 실습(Server128에 s1계정없으면 만들고)
홈폴더 - 공유 - everyone 제거, s1 모든권한 추가 

Active Directory - s1 계정 - 속성 - 프로필 - 홈폴더 연결체크 - \\server128\홈폴더
- 적용 - 창무시 - 확인 

 

Client 200
hann\s1 로그인

 

 

내PC - 홈폴더 올라온것 확인

 

 

 

 

 

 

여기까지 Windows Server 2012 NTFS/DFS 에 대한 설명이 끝났다.