[ Active Directory ] 부모-자식 도메인 Trust 관계

이번엔 이전에 구성했던 부모 도메인과 자식 도메인을 어떻게 활용하는지 테스트 해볼 예정이다.

서로의 인증 관계는 얼만큼 통하고 어떻게 응용할 수있는 지 알아보겠다.

 

 

 

1. 서울 DC 관리자가 부산 DC 제어 가능 여부

부모 -> 자식

 

마우스 오른쪽 클릭 - 도메인 변경

부모 쪽에서 자식의 권한으로 접속하는 방법이다.

자식 도메인인 busan.shrshr.shop 아래에 있는 users가 보인다.

다음과 같이 부산 도메인에 유저 새로만들기 등의 작업을 할 수 있다.

다시 돌아올 땐 본인 주소를 치고 돌아오자.

도메인 변경이 아닌 도메인 컨트롤러 변경을 클릭하여 바꿔도 된다.

 

 

 

 

2. 부산 DC 관리자가 서울 DC 제어 가능 여부

 자식 -> 부모

 

반대로 자식쪽에서 부모 도메인으로 접속해서 유저를 만드는 등의 작업을 하려고 해도 매뉴가 안뜬다..

권한이 없어서 불가 하다.

만약 서울의 부장이 부산으로 출장가서 서울쪽 계정 만들어달라고 하면 못한다.

 

 

 

 

3. 부산 DC 사용자가 서울로 출장(노트북 지참), 부산 DC계정으로 Login 가능 여부

 

윈도우 11을 출장때 들고간 노트북이라고 가정한다.

윈도우 11을 busan.shrshr.shop 으로 가입시킨다.

실행 - sysdm.cpl

 

당연히 DNS는 부산(자식)도메인을 가지고 있어야 연결이 된다.

아래와 같은 창이 뜨면 부산 도메인의 도메인 계정으로 로그인 하여 권한을 충족시킨다.

 

ad 컴퓨터 목록도 제대로 추가 돼 있나 확인하고 이전에 도메인 컨트롤러에 가입 돼있었으면 기존걸 삭제시킨다.

윈도우 11 다시 재부팅

아래와 같이 부산(자식) 도메인의 컴퓨터 목록에 윈도우11 머신이 추가되었다.

 

 

 

 

<< 계정 만들기 >>

 

부산 (자식) 도메인에서 계정을 하나 만들어준다.

이 계정이 출장간 사람의 부산 계정이다. 도메인은 busan.shrshr.shop 으로 되어나온다.

이 계정은 윈도우 11머신에는 없는 계정이지만 윈도우 11에 로그인 가능하고 서울서버에서 작업 가능한 계정이 된다.

 

 

참고로 AD 사용자 및 컴퓨터로 들어가 유저 폴더에서 새로만들기를 눌러서 계정을 생성해도 되지만

그냥 관리자 권한으로 실행된 cmd 창에서 생성 가능하다.

cmd를 실행할 때 실행창에서 cmd를 치고 ctrl +shift+enter 를 눌러서 실행시키면 관리자 권한으로 실행이 가능하다.

아래와 같이 명령어를 넣어 만든다.

 

# net user aa "It12345!" /add

관리자 계정도 아래와 같이 바꿔줄 수가 있다.

 

 

 

 

 

4. 서울(부모) DC에 공유 폴더 생성 후 부산(자식) DC 사용자가권한 부여 받은 후 접근

 

서울(부모) 쪽에서 바탕화면에 공유폴더를 만들어주고

cc계정 권한 준다. 

 

수정권한을 준다.

공유 권한도 수정해준다. 그럼 공유폴더 완성!

 

 

이제 아래와 같이 부산의 cc계정이 부산(자식) 도메인의 컴퓨터에서 서울(부모) 도메인으로 공유폴더 접속을 시도한다.

 

busan 공유폴더에 접속이 되고 파일 읽기 쓰기 삭제 수정등이 다 된다.