부록 B: 테스트 환경 설정
이 항목에서는 동적 Access Control을 테스트하는 실습 환경을 구축하는 단계에 대해 설명합니다. 종속된 구성 요소가 많으므로 지침을 순서대로 따라야 합니다.
필수 조건
하드웨어 및 소프트웨어 요구 사항
테스트 랩 설정 요구 사항:
Windows Server 2008 R2 SP1 및 Hyper-V를 실행하는 호스트 서버
Windows Server 2012 ISO 복사본
Windows 8 ISO 복사본
Microsoft Office 2010
Microsoft Exchange Server 2003 이상을 실행하는 서버
동적 Access Control 시나리오를 테스트하려면 다음 Virtual Machines를 빌드해야 합니다.
DC1(도메인 컨트롤러)
DC2(도메인 컨트롤러)
FILE1(파일 서버 및 Active Directory Rights Management Services)
SRV1(POP3 맟 SMTP 서버)
CLIENT1(Microsoft Outlook이 설치된 클라이언트 컴퓨터)
가상 컴퓨터의 암호는 다음과 같습니다.
BUILTIN\Administrator: pass@word1
Contoso\Administrator: pass@word1
그 외 모든 계정: pass@word1
테스트 랩 가상 컴퓨터 빌드
Hyper-V 역할 설치
Windows Server 2008 R2 SP1을 실행하는 컴퓨터에 Hyper-V를 설치해야 합니다.
Hyper-V 역할을 설치하려면
시작을 클릭한 다음 서버 관리자를 클릭합니다.
서버 관리자 주 창의 역할 요약 영역에서 역할 추가를 클릭합니다.
서버 역할 선택 페이지에서 Hyper-V를 클릭합니다.
Virtual Network 만들기 페이지에서 Virtual Machines에 대한 네트워크 연결을 설정하려면 하나 이상의 네트워크 어댑터를 클릭합니다.
설치 선택 확인 페이지에서 설치를 클릭합니다.
설치를 완료하려면 컴퓨터를 다시 시작해야 합니다. 닫기 를 클릭하여 마법사를 마친 다음 예 를 클릭하여 컴퓨터를 다시 시작합니다.
컴퓨터를 다시 시작한 후 역할을 설치하는 데 사용한 것과 동일한 계정을 사용하여 로그인합니다. 구성 마법사 다시 시작에서 설치를 완료하면 닫기 를 클릭하여 마법사를 마칩니다.
내부 가상 네트워크 만들기
이제 ID_AD_Network라는 내부 가상 네트워크를 만듭니다.
가상 네트워크를 만들려면
Hyper-v 관리자 열기
작업 메뉴에서 Virtual Network 관리자를 클릭합니다.
가상 네트워크 만들기에서 내부를 선택합니다.
추가를 클릭합니다. 새 Virtual Network 페이지가 나타납니다.
새 네트워크 이름으로 ID_AD_Network 를 입력합니다. 다른 속성을 검토하고 필요한 경우 수정합니다.
확인을 클릭하여 Virtual Network를 만들고 Virtual Network 관리자를 닫거나, 적용을 클릭하여 Virtual Network를 만들고 Virtual Network 관리자를 계속 사용합니다.
도메인 컨트롤러 빌드
가상 머신을 도메인 컨트롤러(DC1)로 사용되도록 빌드합니다. Windows Server 2012 ISO를 사용하여 가상 머신을 설치 하고 d c 1 라는 이름을 지정합니다.
Active Directory Domain Services를 설치하려면
가상 머신을 ID_AD_Network에 연결합니다. pass@word1암호를 사용하여 DC1에 관리자로 로그인합니다.
서버 관리자에서 관리, 역할 및 기능 추가를 차례로 클릭합니다.
시작하기 전 페이지에서 다음을 클릭합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 클릭한 후 다음을 클릭합니다.
대상 서버 선택 페이지에서 다음을 클릭합니다.
서버 역할 선택 페이지에서 Active Directory Domain Services를 클릭합니다. 역할 및 기능 추가 마법사 대화 상자에서 기능 추가, 다음을 차례로 클릭합니다.
기능 선택 페이지에서 다음을 클릭합니다.
Active Directory Domain Services 페이지에서 정보를 검토한 후 다음을 클릭합니다.
설치 선택 확인 페이지에서 설치를 클릭합니다. 결과 페이지의 기능 설치 진행률에 역할을 설치하는 중임이 나타납니다.
결과 페이지에서 설치가 완료되었는지 확인하고 닫기를 클릭합니다. 서버 관리자의 화면 오른쪽 위 관리옆에 있는 느낌표가 표시된 경고 아이콘을 클릭합니다. 작업 목록에서 이 서버를 도메인 컨트롤러로 승격 링크를 클릭합니다.
배포 구성 페이지에서 새 포리스트 추가를 클릭하고 루트 도메인의 이름 contoso.com을 입력한 후 다음을 클릭합니다.
도메인 컨트롤러 옵션 페이지에서 도메인 및 포리스트 기능 수준을 Windows Server 2012로 선택하고 DSRM 암호를 pass@word1로 지정한 후 다음을 클릭합니다.
DNS 옵션 페이지에서 다음을 클릭합니다.
추가 옵션 페이지에서 다음을 클릭합니다.
경로 페이지에서 Active Directory 데이터베이스, 로그 파일 및 SYSVOL 폴더에 대한 위치를 입력하거나 기본 위치를 적용한 후 다음을 클릭합니다.
검토 옵션 페이지에서 선택 사항을 확인하고 다음을 클릭합니다.
필수 구성 요소 확인 페이지에서 필수 구성 요소 확인 작업이 완료되었는지 확인하고 설치를 클릭합니다.
결과 페이지에서 서버가 도메인 컨트롤러로 제대로 구성되었는지 확인하고 닫기를 클릭합니다.
서버를 다시 시작하여 AD DS 설치를 완료합니다. 기본적으로 이 작업은 자동으로 수행됩니다.
Active Directory 관리 센터를 사용하여 다음 사용자를 만듭니다.
DC1에서 사용자 및 그룹 만들기
관리자로 contoso.com에 로그인합니다. Active Directory 관리 센터를 시작합니다.
다음 보안 그룹을 만듭니다.
그룹 이름 이메일 주소 FinanceAdmin financeadmin@contoso.com FinanceException financeexception@contoso.com 다음 OU(조직 구성 단위)를 만듭니다.
OU 이름 컴퓨터 FileServerOU FILE1 지정된 특성으로 다음 사용자를 만듭니다.
사용자 사용자 이름 메일 주소 부서 그룹 국가/지역 Myriam Delesalle MDelesalle MDelesalle@contoso.com Finance US Miles Reid MReid MReid@contoso.com Finance FinanceAdmin US Esther Valle EValle EValle@contoso.com 작업 FinanceException US Maira Wenzel MWenzel MWenzel@contoso.com HR US Jeff Low JLow JLow@contoso.com HR US RMS 서버 rms rms@contoso.com 보안 그룹을 만드는 방법에 대한 자세한 내용은 Windows Server 웹 사이트에서 새 그룹 만들기 를 참조하세요.
그룹 정책 개체를 만들려면
화면의 오른쪽 위 모서리를 커서로 가리키고 검색 아이콘을 클릭합니다. 검색 상자에 그룹 정책 관리를 입력하고 그룹 정책 관리를 클릭합니다.
포리스트: contoso.com, 도메인을 차례로 확장하고 contoso.com으로 이동하여 (contoso.com)을 확장한 다음 FileServerOU를 선택합니다. 마우스 오른쪽 단추로 클릭 이 도메인에서 GPO를 만들고 여기에 연결
GPO에 대한 설명이 포함된 이름(예: FlexibleAccessGPO)을 입력하고 확인을 클릭합니다.
contoso.com에 동적 Access Control을 사용하려면
그룹 정책 관리 콘솔을 열고 contoso.com을 클릭한 다음 도메인 컨트롤러를 두 번 클릭합니다.
기본 도메인 컨트롤러 정책을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
그룹 정책 관리 편집기 창에서 컴퓨터 구성, 정책, 관리 템플릿, 시스템, KDC를 차례로 두 번 클릭합니다.
클레임, 복합 인증 및 Kerberos 아머링(armoring)에 대한 KDC 지원 을 두 번 클릭하고 사용옆의 옵션을 선택합니다. 중앙 액세스 정책을 사용하려면 이 설정을 지정해야 합니다.
관리자 권한으로 명령 프롬프트를 열고 다음 명령을 실행합니다.
gpupdate /force
파일 서버 및 AD RMS 서버(FILE1) 빌드
Windows Server 2012 ISO에서 FILE1 이름으로 가상 머신을 빌드하세요.
가상 머신을 ID_AD_Network에 연결합니다.
가상 머신을 contoso.com 도메인에 가입시키고 pass@word1암호를 사용하여 contoso\administrator로 FILE1에 로그인합니다.
파일 서비스 리소스 관리자 설치
파일 서비스 역할 및 파일 서버 리소스 관리자를 설치하려면
서버 관리자에서 역할 및 기능 추가를 클릭합니다.
시작하기 전 페이지에서 다음을 클릭합니다.
설치 유형 선택 페이지에서 다음을 클릭합니다.
대상 서버 선택 페이지에서 다음을 클릭합니다.
서버 역할 선택 페이지에서 파일 및 스토리지 서비스를 확장하고 파일 및 iSCSI 서비스 옆의 확인란을 선택한 다음 파일 서버 리소스 관리자를 선택합니다.
역할 및 기능 추가 마법사 대화 상자에서 기능 추가, 다음을 차례로 클릭합니다.
기능 선택 페이지에서 다음을 클릭합니다.
설치 선택 확인 페이지에서 설치를 클릭합니다.
설치 진행률 페이지에서 닫기를 클릭합니다.
파일 서버에 Microsoft Office Filter Pack 설치
Office 파일 기본적으로 제공 하는 것 보다 더 넓은 배열에 대 한 Ifilter를 사용 하도록 설정 하려면 Windows Server 2012에서 Microsoft Office Filter Pack을 설치 해야 합니다. Windows Server 2012에는 기본적으로 설치, Microsoft Office 파일용 Ifilter가 없으며 및 파일 분류 인프라 Ifilter를 사용 하 여 콘텐츠 분석을 수행할 수 있습니다.
IFilter를 다운로드하여 설치하려면 Microsoft Office 2010 필터 팩을 참조하세요.
FILE1에서 메일 알림 구성
할당량 및 파일 차단을 만드는 경우, 할당량 한도에 도달했을 때 또는 사용자가 차단된 파일을 저장하려고 시도한 후 사용자에게 메일 알림을 보낼 수 있는 옵션이 제공됩니다. 특정 관리자에게 할당량 및 파일 차단 이벤트를 정기적으로 알리려는 경우 하나 이상의 기본 받는 사람을 구성할 수 있습니다. 이러한 알림을 보내려면 메일 메시지를 전달하는 데 사용할 SMTP 서버를 지정해야 합니다.
파일 서버 리소스 관리자에서 메일 옵션을 구성하려면
파일 서버 리소스 관리자를 엽니다. 파일 서버 리소스 관리자를 열려면 시작을 클릭하고 파일 서버 리소스 관리자를 입력한 다음 파일 서버 리소스 관리자를 클릭합니다.
파일 서버 리소스 관리자 인터페이스에서 파일 서버 리소스 관리자를 마우스 오른쪽 단추로 클릭하고 옵션 구성을 클릭합니다. 파일 서버 리소스 관리자 옵션 대화 상자가 열립니다.
메일 알림 탭에서 SMTP 서버 이름 또는 IP 주소 아래에 메일 알림을 전달할 SMTP 서버의 호스트 이름 또는 IP 주소를 입력합니다.
특정 관리자에게 할당량 및 파일 차단 이벤트를 정기적으로 알리려면 기본 수신 관리자 아래에 fileadmin@contoso.com와(과) 같은 각 메일 주소를 입력합니다. account@domain 형식을 사용하고 세미콜론으로 여러 계정을 구분합니다.
FILE1에서 그룹 만들기
FILE1에서 보안 그룹을 만들려면
암호 pass@word1을 사용하여 contoso\Administrator로 FILE1에 로그인합니다.
NT AUTHORITY\Authenticated Users를 WinRMRemoteWMIUsers__ 그룹에 추가합니다.
FILE1에서 파일 및 폴더 만들기
FILE1에서 새 NTFS 볼륨을 만든 다음 D:\Finance Documents 폴더를 만듭니다.
지정된 세부 정보로 다음 파일을 만듭니다.
Finance Memo.docx: 문서에 일부 재무 관련 텍스트를 추가합니다. 예를 들어 ' 재무 문서에 액세스할 수 있는 사용자에 대 한 비즈니스 규칙이 변경 되었습니다. 이제 FinanceExpert 그룹의 구성원만 재무 문서에 액세스할 수 있습니다. 다른 부서나 그룹에 대 한 액세스 권한이 있습니다.' 환경에 구현하기 전에 이 변경 내용의 영향을 평가해야 합니다. 이 문서의 모든 페이지에 CONTOSO CONFIDENTIAL이 바닥글로 표시되어 있는지 확인합니다.
Request for Approval to Hire.docx: 이 문서에 지원자 정보를 수집하는 양식을 만듭니다. 문서에 Applicant Name, Social Security number, Job Title, Proposed Salary, Starting Date, Supervisor name, Department필드가 있어야 합니다. 문서에 Supervisor Signature, Approved Salary, Conformation of Offer및 Status of Offer에 대한 양식이 있는 섹션을 추가합니다. 문서 권한 관리를 설정해야 합니다.
Word Document1.docx: 이 문서에 일부 테스트 콘텐츠를 추가합니다.
Word Document2.docx: 이 문서에 테스트 콘텐츠를 추가합니다.
Workbook1.xlsx
Workbook2.xlsx
바탕 화면에 Regular Expressions라는 폴더를 만듭니다. 이 폴더에 RegEx-SSN이라는 텍스트 문서를 만듭니다. 파일에 다음 콘텐츠를 입력하고 파일 저장 후 닫습니다. ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?) (?! 00)\d\d\3(?! 0000)\d{4}$
D:\Finance Documents 폴더를 Finance Documents로 공유하고 모든 사람이 공유를 읽고 쓸 수 있도록 허용합니다.
참고 항목
중앙 액세스 정책은 시스템 또는 부팅 볼륨 C:에는 기본적으로 사용되지 않습니다.
Active Directory Rights Management Services 설치
서버 관리자를 통해 AD RMS(Active Directory Rights Management Services)와 모든 필수 기능을 추가합니다. 모든 기본값을 선택합니다.
Active Directory Rights Management Services를 설치하려면
CONTOSO\Administrator 또는 Domain Admins 그룹의 구성원으로 FILE1에 로그인합니다.
Important
AD RMS 서버 역할을 설치하려면 설치 관리자 계정(이 예제의 경우 CONTOSO\Administrator)에 AD RMS를 설치할 서버 컴퓨터의 로컬 Administrators 그룹과 Active Directory의 Enterprise Admins 그룹 모두에 대한 구성원 자격을 부여해야 합니다.
서버 관리자에서 역할 및 기능 추가를 클릭합니다. 역할 및 기능 추가 마법사가 나타납니다.
시작하기 전 화면에서 다음을 클릭합니다.
설치 유형 선택 화면에서 역할 기반 또는 기능 기반 설치를 클릭하고 다음을 클릭합니다.
서버 대상 선택 화면에서 다음을 클릭합니다.
서버 역할 선택 화면에서 Active Directory Rights Management Services옆의 상자를 선택하고 다음을 클릭합니다.
Active Directory Rights Management Services에 필요한 기능을 추가하시겠습니까? 대화 상자에서 기능 추가를 클릭합니다.
서버 역할 선택 화면에서 다음을 클릭합니다.
설치할 기능 선택 화면에서 다음을 클릭합니다.
Active Directory Rights Management Services 화면에서 다음을 클릭합니다.
역할 서비스 선택 화면에서 다음을 클릭합니다.
웹 서버 역할(IIS) 화면에서 다음을 클릭합니다.
역할 서비스 선택 화면에서 다음을 클릭합니다.
설치 선택 확인 화면에서 설치를 클릭합니다.
설치가 완료되면 설치 진행률 화면에서 추가 구성 수행을 클릭합니다. AD RMS 구성 마법사가 나타납니다.
AD RMS 화면에서 다음을 클릭합니다.
AD RMS 클러스터 화면에서 새 AD RMS 루트 클러스터 만들기 를 선택하고 다음을 클릭합니다.
구성 데이터베이스 화면에서 이 서버에서 Windows 내부 데이터베이스 사용을 클릭한 후 다음을 클릭합니다.
참고 항목
Windows 내부 데이터베이스는 AD RMS 클러스터에서 둘 이상의 서버를 지원하지 않으므로 테스트 환경에서만 사용하는 것이 좋습니다. 프로덕션 배포에서는 별도의 데이터베이스 서버를 사용해야 합니다.
서비스 계정 화면의 도메인 사용자 계정에서 지정 을 클릭한 다음 사용자 이름(contoso\rms)과 암호(pass@word1)를 지정하고 확인, 다음을 차례로 클릭합니다.
암호화 모드 화면에서 암호화 모드 2를 클릭합니다.
클러스터 키 스토리지 화면에서 다음을 클릭합니다.
클러스터 키 암호 화면에서 암호 및 암호 확인 상자에 pass@word1을 입력하고 다음을 클릭합니다.
클러스터 웹 사이트 화면에서 기본 웹 사이트 가 선택되어 있는지 확인하고 다음을 클릭합니다.
클러스터 주소 화면에서 암호화되지 않은 연결 사용 옵션을 선택한 다음 정규화된 도메인 이름 상자에 FILE1.contoso.com을 입력하고 다음을 클릭합니다.
사용 허가자 인증서 이름 화면에서 텍스트 상자에 있는 기본 이름(FILE1)을 적용하고 다음을 클릭합니다.
SCP 등록 화면에서 지금 SCP 등록을 선택하고 다음을 클릭합니다.
확인 화면에서 설치를 클릭합니다.
결과 화면에서 닫기를 클릭한 다음 설치 진행률 화면에서 닫기 를 클릭합니다. 완료되었으면 로그오프했다가 제공된 암호(pass@word1)를 사용하여 contoso\rms로 로그온합니다.
AD RMS 콘솔을 시작하고 권한 정책 템플릿으로 이동합니다.
AD RMS 콘솔을 열려면 서버 관리자의 콘솔 트리에서 로컬 서버 를 클릭하고 도구를 클릭한 다음 Active Directory Rights Management Services를 클릭합니다.
오른쪽 패널에 있는 분산 권한 정책 템플릿 만들기 를 클릭한 다음 추가를 클릭하고 다음 정보를 선택합니다.
언어: 영어(미국)
이름: Contoso Finance Admin Only
설명: Contoso Finance Admin Only
추가를 클릭하고 다음을 클릭합니다.
사용자 및 권한 섹션에서 사용자 및 권한을 클릭하고 추가를 클릭한 다음 financeadmin@contoso.com을(를) 입력하고 확인을 클릭합니다.
모든 권한을 선택하고 소유자(만든 이)에게 만료 없이 모든 권한을 부여 를 선택된 상태로 둡니다.
나머지 탭을 변경하지 말고 클릭한 다음 마침을 클릭합니다. CONTOSO\Administrator로 로그인합니다.
C:\inetpub\wwwroot\_wmcs\certification 폴더를 찾아 ServerCertification.asmx 파일을 선택한 다음 파일에 대해 읽기 및 쓰기 권한을 갖는 인증된 사용자를 추가합니다.
Windows PowerShell을 열고
Get-FsrmRmsTemplate을 실행합니다. 이 절차의 이전 단계에서 만든 RMS 템플릿을 이 명령으로 볼 수 있는지 확인합니다.
Important
테스트할 수 있도록 파일 서버에 변경 내용을 즉시 적용하려면 다음을 수행해야 합니다.
파일 서버 FILE1에서 관리자 권한 명령 프롬프트를 열고 다음 명령을 실행합니다.
- gpupdate /force.
- NLTEST /SC_RESET:contoso.com
도메인 컨트롤러(DC1)에서 Active Directory를 복제합니다.
Active Directory 복제 단계에 대 한 자세한 내용은 참조 Active Directory 복제
원하는 경우, 서버 관리자에서 역할 및 기능 추가 마법사를 사용하는 대신 다음 절차에 표시된 대로 Windows PowerShell을 사용하여 AD RMS 서버 역할을 설치하고 구성할 수 있습니다.
Windows PowerShell을 사용하여 Windows Server 2012에서 AD RMS 클러스터를 설치하고 구성하려면
pass@word1암호를 사용하여 CONTOSO\Administrator로 로그온합니다.
Important
AD RMS 서버 역할을 설치하려면 설치 관리자 계정(이 예제의 경우 CONTOSO\Administrator)에 AD RMS를 설치할 서버 컴퓨터의 로컬 Administrators 그룹과 Active Directory의 Enterprise Admins 그룹 모두에 대한 구성원 자격을 부여해야 합니다.
서버 바탕 화면의 작업 표시줄에서 Windows PowerShell 아이콘을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행 을 선택하여 관리자 권한으로 Windows PowerShell 프롬프트를 엽니다.
서버 관리자 cmdlet을 사용하여 AD RMS 서버 역할을 설치하려면 다음을 입력합니다.
Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementTools설치할 AD RMS 서버를 나타내는 Windows PowerShell 드라이브를 만듭니다.
예를 들어 RC라는 Windows PowerShell 드라이브를 만들어 AD RMS 루트 클러스터에 설치하고 첫 번째 서버로 구성하려면 다음을 입력합니다.
Import-Module ADRMS New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootCluster드라이브 네임스페이스의 개체에 대해 필요한 구성 설정을 나타내는 속성을 설정합니다.
예를 들어 AD RMS 서비스 계정을 설정하려면 Windows PowerShell 명령 프롬프트에서 다음을 입력합니다.
$svcacct = Get-CredentialWindows 보안 대화 상자가 나타나면 AD RMS 서비스 계정 도메인 사용자 이름 CONTOSO\RMS와 지정된 암호를 입력합니다.
그런 다음 AD RMS 서비스 계정을 AD RMS 클러스터 설정에 할당하려면 다음을 입력합니다.
Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacct그런 다음 Windows 내부 데이터베이스를 사용하도록 AD RMS 서버를 설정하려면 Windows PowerShell 명령 프롬프트에서 다음을 입력합니다.
Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $true그런 다음 클러스터 키 암호를 변수에 안전하게 저장하려면 Windows PowerShell 명령 프롬프트에서 다음을 입력합니다.
$password = Read-Host -AsSecureString -Prompt "Password:"클러스터 키 암호를 입력하고 Enter 키를 누릅니다.
그런 다음 AD RMS 설치에 암호를 지정하려면 Windows PowerShell 명령 프롬프트에서 다음을 입력합니다.
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $password그런 다음 AD RMS 클러스터 주소를 설정하려면 Windows PowerShell 명령 프롬프트에서 다음을 입력합니다.
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"그런 다음 AD RMS 설치에 대한 SLC 이름을 지정하려면 Windows PowerShell 명령 프롬프트에서 다음을 입력합니다.
Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"그런 다음 AD RMS 설치에 대한 SCP(서비스 연결 지점)를 설정하려면 Windows PowerShell 명령 프롬프트에서 다음을 입력합니다.
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $trueInstall-ADRMS cmdlet을 실행합니다. AD RMS 서버 역할을 설치하고 서버를 구성하는 것 외에도 이 cmdlet은 필요한 경우 AD RMS에 필요한 다른 기능을 설치합니다.
예를 들어 RC라는 Windows PowerShell 드라이브로 변경하여 AD RMS를 설치하고 구성하려면 다음을 입력합니다.
Set-Location RC:\ Install-ADRMS -Path.설치를 시작할지 확인하라는 메시지가 표시되면 "Y"를 입력합니다.
CONTOSO\Administrator에서 로그아웃했다가 제공된 암호("pass@word1")를 사용하여 CONTOSO\RMS로 로그온합니다.
Important
AD RMS 서버를 관리하려면 로그온하여 서버를 관리하는 데 사용할 계정(이 예제의 경우 CONTOSO\RMS)에 AD RMS 서버 컴퓨터의 로컬 Administrators 그룹과 Active Directory의 Enterprise Admins 그룹 모두에 대한 구성원 자격을 부여해야 합니다.
서버 바탕 화면의 작업 표시줄에서 Windows PowerShell 아이콘을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행 을 선택하여 관리자 권한으로 Windows PowerShell 프롬프트를 엽니다.
구성할 AD RMS 서버를 나타내는 Windows PowerShell 드라이브를 만듭니다.
예를 들어 RC라는 Windows PowerShell 드라이브를 만들어 AD RMS 루트 클러스터를 구성하려면 다음을 입력합니다.
Import-Module ADRMSAdmin ` New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope GlobalContoso 재무 관리자에 대한 새 권한 템플릿을 만들고 AD RMS 설치에서 모든 권한이 있는 사용자 권한을 할당하려면 Windows PowerShell 명령 프롬프트에서 다음을 입력합니다.
New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com -Right ('FullControl')Contoso 재무 관리자에 대한 새 권한 템플릿을 볼 수 있는지 확인하려면 Windows PowerShell 명령 프롬프트에서 다음을 입력합니다.
Get-FsrmRmsTemplate이 cmdlet의 출력을 검토하여 이전 단계에서 만든 RMS 템플릿이 있는지 확인합니다.
메일 서버(SRV1) 빌드
SRV1은 SMTP/POP3 메일 서버입니다. 액세스 거부 지원 시나리오의 일부로 메일 알림을 보내려면 메일 서버를 설정해야 합니다.
이 컴퓨터에서 Microsoft Exchange Server를 구성합니다. 자세한 내용은 Exchange Server를 설치하는 방법을 참조하세요.
클라이언트 가상 머신(CLIENT1) 빌드
클라이언트 가상 머신을 빌드하려면
CLIENT1을 ID_AD_Network에 연결합니다.
Microsoft Office 2010을 설치합니다.
Contoso\Administrator로 로그인한 후 다음 정보를 사용하여 Microsoft Outlook를 구성합니다.
이름: File Administrator
메일 주소: fileadmin@contoso.com
계정 유형: POP3
들어오는 메일 서버: SRV1의 고정 IP 주소
보내는 메일 서버: SRV1의 고정 IP 주소
사용자 이름: fileadmin@contoso.com
암호 저장: 선택
contoso\administrator 바탕 화면에 Outlook 바로 가기를 만듭니다.
Outlook을 열고 모든 처음으로 시작 메시지의 주소입니다.
생성된 모든 테스트 메시지를 삭제합니다.
가리키는 클라이언트 가상 머신의 모든 사용자에 대한 바탕 화면에서 새 바로 가기를 만들어 \\FILE1\Finance 문서입니다.
필요에 따라 다시 부팅합니다.
클라이언트 가상 머신에서 액세스 거부 지원 사용
레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer로 이동합니다.
EnableShellExecuteFileStreamCheck 를 1로 설정합니다.
값: DWORD
포리스트 시나리오에서 클레임을 배포하기 위한 랩 설정
DC2용 가상 머신 빌드
Windows Server 2012 ISO에서 가상 머신을 빌드하세요.
DC2라는 가상 머신을 만듭니다.
가상 머신을 ID_AD_Network에 연결합니다.
Important
가상 컴퓨터를 도메인에 가입시키고 포리스트에서 클레임 유형을 배포하려면 가상 컴퓨터가 관련 도메인의 FQDN을 확인할 수 있어야 합니다. 이렇게 하려면 가상 컴퓨터에서 DNS 설정을 수동으로 구성해야 할 수도 있습니다. 자세한 내용은 가상 네트워크 구성을 참조하세요.
고정 IPv4(IP 버전 4) 주소 및 DNS(Domain Name System) 클라이언트 설정을 사용하도록 모든 가상 머신 이미지(서버 및 클라이언트)를 구성해야 합니다. 자세한 내용은 고정 IP 주소를 사용하도록 DNS 클라이언트 구성을 참조하세요.
adatum.com이라는 새 포리스트 설정
Active Directory Domain Services를 설치하려면
가상 머신을 ID_AD_Network에 연결합니다. Pass@word1암호를 사용하여 DC2에 관리자로 로그인합니다.
서버 관리자에서 관리, 역할 및 기능 추가를 차례로 클릭합니다.
시작하기 전 페이지에서 다음을 클릭합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 클릭한 후 다음을 클릭합니다.
대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 클릭하고 AD DS(Active Directory Domain Services)를 설치할 서버의 이름을 클릭한 후 다음을 클릭합니다.
서버 역할 선택 페이지에서 Active Directory Domain Services를 클릭합니다. 역할 및 기능 추가 마법사 대화 상자에서 기능 추가, 다음을 차례로 클릭합니다.
기능 선택 페이지에서 다음을 클릭합니다.
AD DS 페이지에서 정보를 검토하고 다음을 클릭합니다.
확인 페이지에서 설치를 클릭합니다. 결과 페이지의 기능 설치 진행률에 역할을 설치하는 중임이 나타납니다.
결과 페이지에서 설치에 성공했는지 확인하고 화면 오른쪽 위 관리옆에 있는 느낌표가 표시된 경고 아이콘을 클릭합니다. 작업 목록에서 이 서버를 도메인 컨트롤러로 승격 링크를 클릭합니다.
Important
이 시점에서 이 서버를 도메인 컨트롤러로 승격링크를 클릭하지 않고 설치 마법사를 닫은 경우 서버 관리자에서 작업 을 클릭하여 AD DS 설치를 계속할 수 있습니다.
배포 구성 페이지에서 새 포리스트 추가를 클릭하고 루트 도메인의 이름 adatum.com을 입력한 후 다음을 클릭합니다.
도메인 컨트롤러 옵션 페이지에서 도메인 및 포리스트 기능 수준을 Windows Server 2012로 선택하고 DSRM 암호를 pass@word1로 지정한 후 다음을 클릭합니다.
DNS 옵션 페이지에서 다음을 클릭합니다.
추가 옵션 페이지에서 다음을 클릭합니다.
경로 페이지에서 Active Directory 데이터베이스, 로그 파일 및 SYSVOL 폴더에 대한 위치를 입력하거나 기본 위치를 적용한 후 다음을 클릭합니다.
검토 옵션 페이지에서 선택 사항을 확인하고 다음을 클릭합니다.
필수 구성 요소 확인 페이지에서 필수 구성 요소 확인 작업이 완료되었는지 확인하고 설치를 클릭합니다.
결과 페이지에서 서버가 도메인 컨트롤러로 제대로 구성되었는지 확인하고 닫기를 클릭합니다.
서버를 다시 시작하여 AD DS 설치를 완료합니다. 기본적으로 이 작업은 자동으로 수행됩니다.
Important
네트워크가 올바르게 구성되었는지 확인하려면 두 포리스트를 모두 설정한 후 다음을 수행해야 합니다.
- adatum\administrator로 adatum.com에 로그인합니다. 명령 프롬프트 창을 열고 nslookup contoso.com을 입력한 다음 Enter 키를 누릅니다.
- contoso\administrator로 contoso.com에 로그인합니다. 명령 프롬프트 창을 열고 nslookup adatum.com을 입력한 다음 Enter 키를 누릅니다.
이러한 명령이 오류 없이 실행되면 포리스트에서 서로 통신할 수 있습니다. nslookup 오류에 대한 자세한 내용은 NSlookup.exe 사용항목에서 문제 해결 섹션을 참조하세요.
contoso.com을 adatum.com의 트러스팅 포리스트로 설정
이 단계에서는 Adatum Corporation 사이트와 Contoso, Ltd. 사이트 간의 트러스트 관계를 만듭니다.
Contoso를 Adatum의 트러스팅 포리스트로 설정하려면
관리자로 DC2에 로그인합니다. 시작 화면에서 domain.msc를 입력합니다.
콘솔 트리에서 adatum.com을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
트러스트 탭에서 새 트러스트를 클릭한 후 다음을 클릭합니다.
트러스트 이름 페이지에서 DNS(Domain Name System) 이름 필드에 contoso.com을 입력하고 다음을 클릭합니다.
트러스트 종류 페이지에서 포리스트 트러스트를 클릭한 후 다음을 클릭합니다.
트러스트 방향 페이지에서 양방향을 클릭합니다.
트러스트 파트너 페이지에서 이 도메인 및 지정한 도메인 모두에 대해 트러스트를 만듭니다.를 클릭하고 다음을 클릭합니다.
계속해서 마법사의 지침을 따릅니다.
Adatum 포리스트에서 추가 사용자 만들기
암호 pass@word1을 사용하는 사용자 Jeff Low를 만들고 값이 Adatum인 Company 특성을 할당합니다.
Company 특성을 가진 사용자를 만들려면
Windows PowerShell에서 관리자 권한 명령 프롬프트를 열고 다음 코드를 붙여 넣습니다.
New-ADUser ` -SamAccountName jlow ` -Name "Jeff Low" ` -UserPrincipalName jlow@adatum.com ` -AccountPassword (ConvertTo-SecureString ` -AsPlainText "pass@word1" -Force) ` -Enabled $true ` -PasswordNeverExpires $true ` -Path 'CN=Users,DC=adatum,DC=com' ` -Company Adatum`
adataum.com에서 Company 클레임 유형 만들기
Windows PowerShell을 사용하여 클레임 유형을 만들려면
관리자로 adatum.com에 로그인합니다.
Windows PowerShell에서 관리자 권한 명령 프롬프트를 열고 다음 코드를 입력합니다.
New-ADClaimType ` -AppliesToClasses:@('user') ` -Description:"Company" ` -DisplayName:"Company" ` -ID:"ad://ext/Company:ContosoAdatum" ` -IsSingleValued:$true ` -Server:"adatum.com" ` -SourceAttribute:Company ` -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `
contoso.com에서 회사 리소스 속성 사용
contoso.com에서 회사 리소스 속성을 사용하려면
관리자로 contoso.com에 로그인합니다.
서버 관리자에서 도구를 클릭한 다음 Active Directory 관리 센터를 클릭합니다.
Active Directory 관리 센터의 왼쪽 창에서 트리 보기를 클릭합니다. 왼쪽 창에서 동적 Access Control을 클릭한 다음 리소스 속성을 클릭합니다.
리소스 속성 목록에서 회사 를 선택하고 마우스 오른쪽 단추를 클릭한 다음 속성을 선택합니다. 제안 값 섹션에서 추가 를 클릭하여 제안 값 Contoso와 Adatum을 추가하고 확인 을 두 번 클릭합니다.
리소스 속성 목록에서 회사 를 선택하고 마우스 오른쪽 단추를 클릭한 다음 사용을 선택합니다.
adatum.com에서 동적 Access Control 사용
adatum.com에 동적 액세스 제어를 사용하려면
관리자로 adatum.com에 로그인합니다.
그룹 정책 관리 콘솔을 열고 adatum.com을 클릭한 다음 도메인 컨트롤러를 두 번 클릭합니다.
기본 도메인 컨트롤러 정책을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
그룹 정책 관리 편집기 창에서 컴퓨터 구성, 정책, 관리 템플릿, 시스템, KDC를 차례로 두 번 클릭합니다.
클레임, 복합 인증 및 Kerberos 아머링(armoring)에 대한 KDC 지원 을 두 번 클릭하고 사용옆의 옵션을 선택합니다. 중앙 액세스 정책을 사용하려면 이 설정을 지정해야 합니다.
관리자 권한으로 명령 프롬프트를 열고 다음 명령을 실행합니다.
gpupdate /force
contoso.com에서 Company 클레임 유형 만들기
Windows PowerShell을 사용하여 클레임 유형을 만들려면
관리자로 contoso.com에 로그인합니다.
Windows PowerShell에서 관리자 권한 명령 프롬프트를 열고 다음 코드를 입력합니다.
New-ADClaimType '"SourceTransformPolicy ` '"DisplayName 'Company' ` '"ID 'ad://ext/Company:ContosoAdatum' ` '"IsSingleValued $true ` '"ValueType 'string' `
중앙 액세스 규칙 만들기
중앙 액세스 규칙을 만들려면
Active Directory 관리 센터의 왼쪽 창에서 트리 보기를 클릭합니다. 왼쪽 창에서 동적 Access Control을 클릭한 다음 중앙 액세스 규칙을 클릭합니다.
중앙 액세스 규칙을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 중앙 액세스 규칙을 클릭합니다.
이름 필드에 AdatumEmployeeAccessRule을 입력합니다.
사용 권한을 섹션에서 다음 권한을 현재 권한으로 사용 옵션을 선택하고 편집을 클릭한 다음 추가를 클릭합니다. 보안 주체 선택 링크를 클릭하고 Authenticated Users를 입력한 다음 확인을 클릭합니다.
Permission Entry for Permissions (사용 권한의 사용 권한 항목) 대화 상자에서 조건 추가를 클릭하고 다음 조건을 입력합니다. [User] [Company] [Equals] [Value] [Adatum]. 사용 권한은 수정, 읽기 및 실행, 읽기, 쓰기여야 합니다.
확인을 클릭합니다.
확인 을 세 번 클릭하여 작업을 마치고 Active Directory 관리 센터로 돌아갑니다.
Windows PowerShell 해당 명령다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.
New-ADCentralAccessRule ` -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" ` -Name:"AdatumEmployeeAccessRule" ` -ProposedAcl:$null ` -ProtectedFromAccidentalDeletion:$true ` -Server:"contoso.com" `
중앙 액세스 정책 만들기
중앙 액세스 정책을 만들려면
관리자로 contoso.com에 로그인합니다.
Windows PowerShell에서 관리자 권한 명령 프롬프트를 열고 다음 코드를 붙여 넣습니다.
New-ADCentralAccessPolicy "Adatum Only Access Policy" Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" ` -Member "AdatumEmployeeAccessRule" `
그룹 정책을 통해 새 정책 게시
그룹 정책을 통해 파일 서버에서 중앙 액세스 정책을 적용하려면
시작 화면에서 관리 도구를 입력한 뒤 검색 표시줄에서 설정을 클릭합니다. 설정 결과에서 관리 도구를 클릭합니다. 관리 도구 폴더에서 그룹 정책 관리 콘솔을 엽니다.
팁
PC 관리 도구 표시 설정이 사용되지 않도록 설정된 경우 관리 도구 폴더 및 해당 콘텐츠가 설정 결과에 표시되지 않습니다.
contoso.com 도메인을 마우스 오른쪽 단추로 클릭하여, 이 도메인에서 GPO를 만들고 여기에 연결
GPO에 대한 설명이 포함된 이름(예: AdatumAccessGPO)을 입력하고 확인을 클릭합니다.
그룹 정책을 통해 파일 서버에 중앙 액세스 정책을 적용하려면
시작 화면에서 검색 상자에 그룹 정책 관리를 입력합니다. 관리 도구 폴더에서 그룹 정책 관리 를 엽니다.
팁
PC 관리 도구 표시 설정이 사용되지 않도록 설정된 경우 관리 도구 폴더 및 해당 콘텐츠가 설정 결과에 표시되지 않습니다.
그룹 정책 관리\포리스트: contoso.com\도메인\contoso.com으로 이동하여 Contoso를 선택합니다.
AdatumAccessGPO 정책을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
그룹 정책 관리 편집기에서 컴퓨터 구성을 클릭하고 정책, Windows 설정을 차례로 확장한 다음 보안 설정을 클릭합니다.
파일 시스템을 확장하고 중앙 액세스 정책을 마우스 오른쪽 단추로 클릭한 다음 중앙 액세스 정책 관리를 클릭합니다.
중앙 액세스 정책 구성 대화 상자에서 추가를 클릭하고 Adatum 전용 액세스 정책을 선택한 다음 확인을 클릭합니다.
그룹 정책 관리 편집기를 닫습니다. 이제 그룹 정책에 중앙 액세스 정책이 추가되었습니다.
파일 서버에서 Earnings 폴더 만들기
FILE1에서 새 NTFS 볼륨을 만든 다음 D:\Earnings 폴더를 만듭니다.
참고 항목
중앙 액세스 정책은 시스템 또는 부팅 볼륨 C:에는 기본적으로 사용되지 않습니다.
분류를 설정하고 Earnings 폴더에 중앙 액세스 정책을 적용합니다.
파일 서버에서 중앙 액세스 정책을 할당하려면
Hyper-V 관리자에서 FILE1 서버에 연결합니다. pass@word1암호를 사용하여 Contoso\Administrator로 서버에 로그인합니다.
관리자 권한 명령 프롬프트를 열고 gpupdate /force를 입력합니다. 그러면 그룹 정책 변경 내용이 서버에 적용됩니다.
또한 Active Directory에서 전역 리소스 속성을 새로 고쳐야 합니다. Windows PowerShell을 열고
Update-FSRMClassificationpropertyDefinition을 입력한 다음 Enter 키를 누릅니다. Windows PowerShell을 닫습니다.Windows 탐색기를 열고 D:\EARNINGS로 이동합니다. Earnings 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
분류 탭을 클릭합니다. 회사를 선택한 다음, 값 필드에서 Adatum을 선택합니다.
변경을 클릭하고 드롭다운 메뉴에서 Adatum 전용 액세스 정책 을 선택한 다음 적용을 클릭합니다.
보안 탭을 클릭하고 고급을 클릭한 다음 중앙 정책 탭을 클릭합니다. AdatumEmployeeAccessRule이 나열됩니다. 항목을 확장하여 Active Directory에서 규칙을 만들 때 설정한 모든 사용 권한을 볼 수 있습니다.
확인 을 클릭하여 Windows 탐색기로 돌아갑니다.