그룹 범위
그룹은 보안 그룹이나 메일 그룹인지 여부에 상관없이 도메인 트리나 포리스트에서 그 그룹이 적용되는 정도를 식별하는 범위로 분류됩니다. 그룹 범위는 유니버설, 글로벌 및 도메인 로컬의 세 가지가 있습니다.
• | 유니버설 그룹은 도메인 트리나 포리스트에 있는 모든 도메인의 다른 그룹과 계정을 구성원으로 가질 수 있으며 도메인 트리나 포리스트의 모든 도메인에서 사용 권한을 할당받을 수 있습니다, |
• | 글로벌 그룹은 자신이 속한 도메인의 다른 그룹 및 계정만 구성원으로 가질 수 있으며 포리스트의 모든 도메인에서 사용 권한을 할당받을 수 있습니다. |
• | 도메인 로컬 그룹은 Windows Server 2003, Windows 2000 또는 Windows NT 도메인의 다른 그룹과 계정을 구성원으로 가질 수 있으며 도메인의 사용 권한만 할당받을 수 있습니다. |
아래 표는 각 그룹 범위의 동작을 요약한 것입니다.
유니버설 범위 | 글로벌 범위 | 도메인 로컬 범위 |
도메인 기능 수준이 Windows 2000 기본이나 Windows Server 2003으로 설정된 경우 유니버설 그룹은 모든 도메인의 계정, 글로벌 그룹 및 유니버설 그룹을 구성원으로 가질 수 있습니다. | 도메인 기능 수준이 Windows 2000 기본이나 Windows Server 2003으로 설정된 경우 글로벌 그룹은 동일한 도메인의 계정과 글로벌 그룹을 구성원으로 가질 수 있습니다. | 도메인 기능 수준이 Windows 2000 기본이나 Windows Server 2003으로 설정된 경우 도메인 로컬 범위는 모든 도메인의 계정, 글로벌 그룹 및 유니버설 그룹은 물론 동일한 도메인의 도메인 로컬 그룹을 구성원으로 가질 수 있습니다. |
도메인 기능 수준이 Windows 2000 혼합으로 설정된 경우에는 유니버설 범위를 가진 보안 그룹을 만들 수 없습니다. | 도메인 기능 수준이 Windows 2000 혼합으로 설정된 경우 글로벌 그룹은 동일한 도메인의 계정을 구성원으로 가질 수 있습니다. | 도메인 기능 수준이 Windows2000 혼합이나 도메인 로컬 그룹은 모든 도메인의 계정과 글로벌 그룹을 구성원으로 가질 수 있습니다. |
도메인 기능 수준이 Windows 2000 기본이나 Windows Server 2003으로 설정된 경우 그룹은 다른 그룹에 추가하고 모든 도메인에서 사용 권한을 할당받을 수 있습니다. | 그룹을 다른 그룹에 추가하고 모든 도메인에서 사용 권한을 할당받을 수 있습니다, | 그룹을 다른 도메인 로컬 그룹에 추가하고 같은 도메인에서만 사용 권한을 할당받을 수 있습니다, |
그룹을 도메인 로컬 범위로 변환할 수 있습니다. 다른 유니버설 그룹을 구성원으로 갖고 있지 않은 경우 그룹을 글로벌 범위로 변환할 수 있습니다. | 글로벌 범위를 가진 다른 그룹의 구성원이 아닌 경우 그룹을 유니버설 범위로 변환할 수 있습니다, | 도메인 로컬 범위를 가진 다른 그룹을 구성원으로 가지고 있지 않은 경우 그룹을 유니버설 범위로 변환할 수 있습니다, |
도메인 로컬 범위를 가진 그룹을 사용해야 할 때
도메인 로컬 범위를 가진 그룹을 사용하면 단일 도메인의 리소스에 대한 액세스를 정의하고 관리할 수 있습니다. 이러한 그룹은 아래 항목을 구성원으로 가질 수 있습니다.
• | 글로벌 범위를 가진 그룹 |
• | 유니버설 범위를 가진 그룹 |
• | 계정 |
• | 도메인 로컬 범위를 가진 다른 그룹 |
• | 이러한 항목이 혼합된 모든 형태 |
예를 들어 5명의 사용자에게 특정 프린터에 대한 액세스 권한을 부여하려면 프린터 사용 권한 목록에 이들 모두의 사용자 계정을 추가할 수 있습니다. 그러나 이후에 이들에게 새 프린터에 액세스할 수 있는 권한을 부여하려면 새 프린터 사용 권한 목록에 이들 모두의 사용자 계정을 다시 지정해야 할 것입니다.
따라서 조금 더 세심한 계획을 세워 도메인 로컬 범위를 가진 그룹을 만들고 이 그룹에 프린터 액세스 권한을 할당하면 이러한 일상적인 관리 작업을 간소화할 수 있습니다. 글로벌 범위를 가진 그룹에 사용자 계정 5개를 포함하고 도메인 로컬 범위를 가진 그룹에 이 그룹을 추가해 보십시오. 그리고 5명의 사용자에게 새 프린터에 액세스할 수 있는 권한을 부여할 때 새 프린터에 대한 액세스 권한을 도메인 로컬 범위를 가진 그룹에 할당합니다. 글로벌 범위를 가진 그룹의 모든 구성원이 자동으로 새 프린터에 대한 액세스 권한을 받게 됩니다.
글로벌 범위를 가진 그룹을 사용해야 할 때
글로벌 범위를 가진 그룹을 사용하여 사용자 계정이나 컴퓨터 계정처럼 일상적으로 관리해야 하는 디렉터리 개체를 관리합니다. 글로벌 범위를 가진 그룹은 해당 도메인의 외부로 복제되지 않기 때문에 이러한 그룹의 계정은 글로벌 카탈로그에 복제 트래픽을 만들지 않고 자주 변경할 수 있습니다. 그룹과 복제에 대한 자세한 내용은 복제 작업 방법 을 참조하십시오.
사용 권한은 그 권한이 할당된 도메인 내에서만 유효하지만 글로벌 범위를 가진 그룹을 해당하는 모든 도메인에 일률적으로 적용하면 비슷한 목적을 가진 계정에 대한 조회를 통합할 수 있습니다. 그러면 여러 도메인에 걸친 관리 작업을 합리적으로 간소하게 수행할 수 있습니다. 예를 들어 Europe 및 UnitedStates라는 두 개의 도메인이 있는 네트워크에서 UnitedStates 도메인에 GLAccounting이라는 글로벌 범위를 가진 그룹이 있는 경우 Europe 도메인에 계정 기능이 있다면 Europe 도메인에도 GLAccounting이라는 그룹이 있을 것입니다,
글로벌 카탈로그로 복제되는 도메인 디렉터리 개체에 대한 사용 권한을 지정할 때는 도메인 로컬 그룹 대신 글로벌 그룹이나 유니버설 그룹을 사용하는 것이 좋습니다. 자세한 내용은 글로벌 카탈로그 복제 를 참조하십시오.
유니버설 범위를 가진 그룹을 사용해야 할 때
유니버설 범위를 가진 그룹을 사용하여 여러 도메인의 그룹을 통합할 수 있습니다. 이렇게 하려면 글로벌 범위를 가진 그룹에 계정을 추가하고 이러한 그룹을 유니버설 범위를 가진 그룹에 포함시킵니다. 이 방법을 사용하면 글로벌 범위를 가진 그룹의 구성원에 대한 변경 내용이 유니버설 범위를 가진 그룹에 영향을 미치지 않습니다.
예를 들어 Europe과 UnitedStates라는 두 도메인이 있는 네트워크의 각 도메인에 GLAccounting이라는 글로벌 범위를 가진 그룹이 있는 경우 UAccounting이라는 유니버설 범위를 가진 그룹을 만들어 두 개의 GLAccounting 그룹, 즉 UnitedStates\GLAccounting 및 Europe\GLAccounting을 그 구성원으로 가지도록 합니다. 그러면 회사의 모든 위치에서 UAccounting 그룹을 사용할 수 있습니다. 개별 GLAccounting 그룹의 구성원을 변경해도 UAccounting 그룹이 복제되지 않습니다.
유니버설 범위를 가진 그룹의 구성원은 자주 변경하지 말아야 합니다. 이러한 그룹의 구성원을 변경하면 그룹의 전체 구성원이 포리스트에 있는 모든 글로벌 카탈로그에 복제되기 때문입니다. 유니버셜 그룹 및 복제에 대한 자세한 내용은 글로벌 카탈로그 및 사이트 를 참조하십시오.
그룹 범위 변경
새 그룹을 만들면 현재의 도메인 기능 수준에 관계없이 새 그룹이 기본적으로 글로벌 범위를 가진 보안 그룹으로 구성됩니다. 도메인 기능 수준이 Windows2000 혼합으로 설정된 도메인에서는 그룹 범위를 변경할 수 없지만 도메인 기능 수준이 Windows 2000 기본이나 Windows Server 2003으로 설정된 도메인에서는 다음과 같이 변환할 수 있습니다.
• | 글로벌 그룹을 유니버설 그룹으로 변환. 변경할 그룹이 다른 글로벌 범위 그룹의 구성윈이 아닌 경우에만 이렇게 변환할 수 있습니다. |
• | 도메인 로컬 그룹을 유니버설 그룹으로 변환. 변경할 그룹이 다른 도메인 로컬 그룹을 구성원으로 가지고 있지 않은 경우에만 이렇게 변환할 수 있습니다. |
• | 유니버설 그룹을 글로벌 그룹으로 변환. 변경할 그룹이 다른 유니버설 그룹을 구성원으로 가지고 있지 않은 경우에만 이렇게 변환할 수 있습니다. |
• | 유니버설 그룹을 도메인 로컬 그룹으로 변환. 이 작업에는 아무런 제한이 없습니다. |
자세한 내용은 그룹 범위 변경 을 참조하십시오.
클라이언트 컴퓨터와 독립 실행형 서버의 그룹
유니버설 그룹, 그룹 중첩, 보안 그룹 및 메일 그룹 간의 구별과 같은 일부 그룹 기능은 Active Directory 도메인 컨트롤러와 구성원 서버에서만 사용할 수 있습니다. Windows 2000 Professional, Windows XP Professional 등이 포함됩니다., Windows 2000 Server 및 Windows Server 2003 실행 독립 실행형 서버의 그룹 계정은 Windows NT 4.0의 그룹 계정과 같은 방법으로 작동합니다.
• | 로컬 그룹만 컴퓨터에서 로컬로 만들 수 있습니다, |
• | 이러한 컴퓨터에서 만든 로컬 그룹에는 해당 컴퓨터의 사용 권한만 할당할 수 있습니다. |
자세한 내용은 기본 로컬 그룹 을 참조하십시오.
'Tech: > AD·ADAM' 카테고리의 다른 글
Schema 속성에 index 거는 방법 (0) | 2008.06.26 |
---|---|
Active Directory 그룹 (혼합모드) (0) | 2008.06.26 |
Active Directory에 등록되지 않는 이름들 (0) | 2008.06.26 |
Active Directory 사용 시의 주의사항 (0) | 2008.06.26 |
Active Directory와 Site Server LDAP (2) (0) | 2008.06.26 |