OU, 사용자, 그룹 관리
조직 구성 단위(OU)란
Active Directory에 사용자가 수백 명이라면, 모든 사용자를 하나의 목록에 나열하면 관리가 어렵습니다. 회사의 부서처럼 사용자를 분류할 수 있는 방법이 필요합니다. 그것이 OU(Organizational Unit, 조직 구성 단위)입니다.
OU는 AD 안에서 사용자, 컴퓨터, 그룹 등의 객체를 논리적으로 분류하는 컨테이너입니다. OU 안에 다시 하위 OU를 만들 수도 있어서 조직 구조를 그대로 반영할 수 있습니다.
icqa.or.kr (도메인)
├── OU: 영업부
│ ├── 사용자: 홍길동
│ └── 사용자: 김영희
├── OU: 기술부
│ ├── OU: 개발팀
│ │ └── 사용자: 이철수
│ └── OU: 운영팀
│ └── 사용자: 박미영
└── OU: 경영지원부
└── 사용자: 최지훈
OU의 가장 큰 장점은 그룹 정책(GPO)을 OU 단위로 적용할 수 있다는 것입니다. 영업부 OU에는 영업부용 정책을, 기술부 OU에는 기술부용 정책을 별도로 적용할 수 있습니다.
OU와 그룹의 차이
OU와 그룹은 비슷해 보이지만 역할이 다릅니다.
| 구분 | OU | 그룹 |
|---|---|---|
| 용도 | 객체 분류, 정책 적용 | 권한 부여 |
| 정책 적용 | 가능 (GPO 연결) | 불가 |
| 권한 부여 | 직접 불가 | 가능 (NTFS, 공유 등) |
| 중복 소속 | 불가 (하나의 OU에만) | 가능 (여러 그룹) |
쉽게 말하면 OU는 조직도(부서 배치)이고, 그룹은 프로젝트 팀(권한 배분)입니다.
Active Directory 사용자 및 컴퓨터 (dsa.msc)
도메인 사용자와 OU를 관리하는 도구는 Active Directory 사용자 및 컴퓨터입니다.
- Windows 키 + R > dsa.msc > 확인
또는 서버 관리자의 도구 메뉴에서 Active Directory 사용자 및 컴퓨터를 선택합니다.
dsa.msc를 열면 왼쪽 트리에 도메인 이름이 보이고, 그 아래에 기본 컨테이너가 있습니다.
icqa.or.kr
├── Builtin ← 기본 제공 그룹
├── Computers ← 도메인에 참가한 컴퓨터
├── Domain Controllers ← 도메인 컨트롤러
├── ForeignSecurityPrincipals
└── Users ← 기본 제공 사용자와 그룹
OU 만들기
- dsa.msc를 엽니다.
- 도메인 이름(icqa.or.kr)을 우클릭합니다.
- 새로 만들기 > 조직 구성 단위를 선택합니다.
- 이름을 입력합니다. 예: 영업부
- 실수로 삭제되지 않도록 컨테이너 보호 체크박스를 확인합니다. (기본 체크됨)
- 확인을 클릭합니다.
하위 OU를 만들려면 상위 OU를 우클릭하고 같은 과정을 반복합니다.
도메인 사용자 추가
OU 안에 사용자를 만드는 과정입니다.
- dsa.msc에서 사용자를 추가할 OU를 우클릭합니다.
- 새로 만들기 > 사용자를 선택합니다.
- 사용자 정보를 입력합니다.
- 이름: 길동
- 성: 홍
- 사용자 로그온 이름: hong (@ 도메인 자동 표시)
- 다음을 클릭합니다.
- 암호를 입력하고 암호 옵션을 설정합니다.
- 다음 로그온 시 암호 변경 필요 - 기본 체크
- 암호 변경할 수 없음
- 암호 사용 기간 제한 없음
- 계정 사용 안 함
- 다음 > 마침을 클릭합니다.
도메인 사용자의 로그인 형식은 두 가지입니다.
ICQA\hong ← NetBIOS 형식 (도메인\사용자)
[email protected] ← UPN 형식 (사용자@도메인)
도메인 그룹의 종류
AD의 그룹은 범위와 유형에 따라 분류됩니다.
그룹 범위
| 범위 | 구성원 | 권한 부여 범위 |
|---|---|---|
| 로컬 도메인 그룹 | 포리스트 내 모든 사용자 | 같은 도메인 내 자원만 |
| 글로벌 그룹 | 같은 도메인 사용자만 | 포리스트 내 모든 도메인 |
| 유니버설 그룹 | 포리스트 내 모든 사용자 | 포리스트 내 모든 도메인 |
그룹 유형
| 유형 | 용도 |
|---|---|
| 보안 그룹 | 권한 부여에 사용 (가장 일반적) |
| 배포 그룹 | 이메일 배포 목록에만 사용 (권한 부여 불가) |
시험에서는 로컬 도메인 그룹, 글로벌 그룹, 유니버설 그룹의 차이를 묻는 문제가 나옵니다. 핵심은 "구성원으로 누구를 넣을 수 있는가"와 "어디에 권한을 줄 수 있는가"입니다.
그룹 만들기
- OU 또는 Users 컨테이너를 우클릭합니다.
- 새로 만들기 > 그룹을 선택합니다.
- 그룹 이름을 입력합니다. 예: 영업팀
- 그룹 범위를 선택합니다. 예: 글로벌
- 그룹 유형을 선택합니다. 예: 보안
- 확인을 클릭합니다.
그룹에 사용자를 추가하려면 그룹을 더블 클릭하고 구성원 탭에서 추가 버튼을 사용합니다.
AD 관리 명령어
PowerShell에서 AD를 관리하는 명령어도 있습니다.
# OU 생성
New-ADOrganizationalUnit -Name "영업부"
# 사용자 생성
New-ADUser -Name "홍길동" -SamAccountName "hong" -Path "OU=영업부,DC=icqa,DC=or,DC=kr"
# 그룹 생성
New-ADGroup -Name "영업팀" -GroupScope Global -GroupCategory Security
# 그룹에 사용자 추가
Add-ADGroupMember -Identity "영업팀" -Members "hong"
시험 포인트
- OU: 객체 분류 + 그룹 정책 적용 단위
- OU와 그룹의 차이: OU=정책 적용, 그룹=권한 부여
- AD 사용자 관리 도구: dsa.msc
- 도메인 그룹 범위: 로컬 도메인, 글로벌, 유니버설
- 그룹 유형: 보안(권한), 배포(이메일)
- 로그인 형식: 도메인\사용자 또는 사용자@도메인
실무 매핑
- 실무에서는 AGDLP 전략을 사용합니다. Account(계정)를 Global 그룹에 넣고, Global 그룹을 Domain Local 그룹에 넣고, Domain Local 그룹에 Permission(권한)을 부여합니다. 이렇게 하면 권한 관리가 체계적이고 유연해집니다.