깡민쓰~IT Story

Windows 2003 DC에서 Windows 2008 DC로 
FSMO(작업마스터) 넘기기

목차

1. Windows Server 2003 DC에서 FSMO 확인

- Domain Naming 작업 마스터 역할 확인

- 스키마 작업 마스터 역할 확인

- PDC, RID, Infrastructure 작업 마스터 역할 확인

2. Windows Server 2008 DC에서 FSMO 확인

- Domain Naming 작업 마스터 역할 확인

- 스키마 작업 마스터 역할 확인

- PDC, RID, Infrastructure 작업 마스터 역할 확인

3. Windows Server 2003 DC에서 Windows 2008 DC로 
FSMO(작업마스터) 넘기기

---------------------------------------------------------------------------------------------------------------------------------

1. Windows Server 2003 DC에서 FSMO 확인

Domain Naming 작업 마스터 역할 확인

1. 시작 – 관리 도구 – Active Directory 도메인 및 트러스트 

2. Active Directory 도메인 및 트러스트 오른쪽 버튼 클릭 – 작업 마스터 클릭 

3. Domain Naming 작업 마스터 확인 

스키마 작업 마스터 역할 확인

1. 스키마 역할을 확인하기 위해, MMC 콘솔을 사용해야 한다. 스키마 MMC 콘솔을 보기 위해서는 추가 작업이 필요하다. 일반적인 MMC 콘솔에서는 스키마 항목이 보이지 않는다 

2. MMC 콘솔에서 스키마 스냅인을 추가하기 위해서는 시작 – 실행 에서 
regsvr32 schmmgmt.dll 라고 입력한 후 실행시킨다. 

3. 명령 실행 결과 화면 

4. 다시 MMC 콘솔을 실행시킨 후 스키마 스냅인이 보이는지 확인 

5. Active Directory 스키마를 추가한 후 마우스 오른쪽 버튼 클릭하여 작업 마스터 선택 

6. 스키마 마스터 확인 

PDC, RID, Infrastructure 작업 마스터 역할 확인

1. 시작 – 관리 도구 – Active Directory 사용자 및 컴퓨터 

2. 도메인 명 오른쪽 버튼 클릭 – 작업 마스터 선택

3. RID 마스터 역할 확인 

4. PDC 마스터 역할 확인 

5. 인프라 마스터 역할 확인 

2. Windows Server 2008 DC에서 FSMO 확인

Domain Naming 작업 마스터 역할 확인

1. 시작 – 관리 도구 – Active Directory 도메인 및 트러스트

2. Active Directory 도메인 및 트러스트 오른쪽 버튼 클릭 – 작업 마스터 선택 

3. Domain Naming 작업 마스터 확인 
*GUI 환경에서는 Windows Server2008로는 Domain Naming 작업 마스터 역할을 전송할 수 없음을 알 수 있다. 
하지만 ntdsutil을 사용하면 작업 마스터 역할을 전송하는 것이 가능하다. 

스키마 작업 마스터 역할 확인 
1. 스키마 역할을 확인하기 위해, MMC 콘솔을 사용해야 한다. Windows 2003과 마찬가지로 스키마 MMC 콘솔을 보기 위해서는 추가 작업이 필요하다. 일반적인 MMC 콘솔에서는 스키마 항목이 보이지 않는다 

2. MMC 콘솔에서 스키마 스냅인을 추가하기 위해서는 시작 에서 
regsvr32 schmmgmt.dll 라고 입력한 후 실행시킨다. 

3. 명령 실행 결과 화면 

4. 다시 MMC 콘솔을 실행시킨 후 스키마 스냅인이 보이는지 확인 

5. Active Directory 스키마를 추가한 후 마우스 오른쪽 버튼 클릭하여 작업 마스터 선택 

6. 스키마 마스터 확인 
*GUI 환경에서는 Windows Server2008로는 스키마 작업 역할을 전송할 수 없음을 알 수 있다. 하지만 ntdsutil을 사용하면 작업 마스터 역할을 전송하는 것이 가능하다.  

Windows Server 2008에서 RID, PID, Infrastructure 작업 마스터 역할 확인

1. 시작 – 관리 도구 – Active Directory 사용자 및 컴퓨터 

2. 도메인 명 오른쪽 버튼 클릭 – 작업 마스터 선택 

3. RID 작업 마스터 역할 확인 
*Windows 2003 DC에서 Windows 2008 DC로 RID 작업 마스터 역할을 전송할 수 있음을 알 수 있다. 

4. PDC 작업 마스터 역할 확인 
*Windows 2003 DC에서 Windows 2008 DC로 PDC 작업 마스터 역할을 전송할 수 있음을 알 수 있다. 

5. 인프라 작업 마스터 역할 확인 
*Windows 2003 DC에서 Windows 2008 DC로 인프라 작업 마스터 역할을 전송할 수 있음을 알 수 있다. 

3. Windows Server 2003 DC에서 Windows 2008 DC로 
FSMO(작업마스터) 넘기기

GUI에서 작업 마스터 역할을 전송할 수 있지만, ntdsutil을 사용하여 명령 프롬프트에서 작업 마스터 역할을 전송해 보겠다. 
*Domain Naming, Schema 작업 마스터 역할은 GUI에서는 전송되지 않음을 확인했다.

1. Windows Server 2003 DC에서 시작 – 실행 – cmd 

2. ntdsutil 

3. roles 

4. connections 

5. connect to server servername 
servername 에 새로 Domain Naming 작업 마스터 역할을 전송 받을 도메인 컨트롤러의 이름을 FQDN 형식으로 입력 

6. quit 

7. Domain Naming 작업 마스터 역할 전송 
transfer domain naming master 

8. 역할 전송 확인 대화 상자 – '예' 버튼을 클릭하여 작업 마스터 역할 전송 

9. 작업 결과 화면 – Domain Naming 작업 마스터 역할이 전송된 것을 알 수 있다. 

10. 스키마 작업 마스터 역할 전송 
transfer schema master 

11. 역할 전송 확인 대화 상자 – '예' 버튼을 클릭하여 작업 마스터 역할 전송 

12. 작업 결과 화면 – 스키마 작업 마스터 역할이 전송된 것을 알 수 있다. 

13. PDC 작업 마스터 역할 전송 
transfer pdc 

14. 역할 전송 확인 대화 상자 – '예' 버튼을 클릭하여 작업 마스터 역할 전송 

15. 작업 결과 화면 – PDC 작업 마스터 역할이 전송된 것을 알 수 있다. 

16. RID 작업 마스터 역할 전송 
transfer rid master 

17. 역할 전송 확인 대화 상자 – '예' 버튼을 클릭하여 작업 마스터 역할 전송 

18. 작업 결과 화면 – RID 작업 마스터 역할이 전송된 것을 알 수 있다. 

19. Infrastructure 작업 마스터 역할 전송 
transfer infrastructure master 

20. 역할 전송 확인 대화 상자 – '예' 버튼을 클릭하여 작업 마스터 역할 전송 

21. 작업 결과 화면 – Infrastructure 작업 마스터 역할이 전송된 것을 알 수 있다. 

-끝-

개요

Active Directory 그룹 정책 중 소프트웨어 제한 정책을 사용하여 사용자의 컴퓨터에 설치된 특정 프로그램의 실행을 제한하는 방법을 설명합니다.

이 가이드에서는 경로 정책을 사용하여 uTorrent.exe의 실행을 차단합니다. 경로 정책은 정책에서 지정한 경로에 존재하는 실행 파일의 실행을 차단합니다.

OS 버전과 비트(x64, x86)에 따라 설치되는 경로가 다를 수 있습니다. 이러한 것을 감안하여 경로를 여러 개 지정할 수 있습니다.

정책 적용

만들어진 정책을 컴퓨터가 속한 OU에 적용합니다. 이 가이드에서는 컴퓨터 정책으로 생성하였으므로 컴퓨터가 속한 OU에 적용해야 합니다. 사용자가 속한 OU에 걸면 아무 소용 없습니다.

클라언트 컴퓨터에서 확인

클라이언트 컴퓨터에서 해당 프로그램을 실행해봅니다.

아래와 같은 오류 메시지가 뜨면 정책이 정상 적용된 것입니다.

개요

Active Directory 그룹 정책 중 IP 보안 정책 (IPSec)을 사용하면 네트워크 연결에 대한 제한을 설정할 수 있습니다.

예를 들어 외부로 나가는 80포트를 차단하여 인터넷 사용을 차단한다거나, 특정 IP에 대해서만 원격 데스크톱 연결을 허용한다거나…

시나리오

이 가이드에서는 특정 IP 대역에 대해서만 80 포트를 허용하고, 외부로 나가는 나머지 모든 IP 대역에 대하여 80포트를 차단함으로써 인터넷 연결을 제한하는 방법을 소개합니다.

• 80포트 허용 IP 대역 – 192.168.20.0/24
• 나머지 IP 대역은 내/외부를 막론하고 80포트 차단

그룹 정책 생성

1. 1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
      (예제에서는 C-Block Internet (IPSec) 이라는 이름의 정책 생성)
       

       

   2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
       

       

   3. 컴퓨터 구성 – 정책 – Windows 설정 – 보안 설정 – IP 보안 정책 오른쪽 버튼 클릭 – IP 보안 정책 만들기
       

       

   4. IP 보안 정책 마법사 - 다음
       

       

   5. IP 보안 정책 이름 – 적절히 입력 후 다음 (예제에서는 인터넷 차단 이라는 이름 사용)
       

       

   6. 보안 통신 요청 – 다음
       

       

   7. IP 보안 정책 마법사 완료 – 속성 편집 체크 – 마침
       

       

   8. 규칙 탭 – 추가 버튼 클릭
       

       

   9. 보안 규칙 만들기 마법사 시작 – 다음 
       

       

   10. 터널 끝점 – 다음 
        

        

   11. 네트워크 종류 – 모든 네트워크 연결 선택 – 다음
        

        

   12. IP 필터 목록 – 추가 버튼 클릭
        

        

   13. 이름을 적절히 입력 후 추가 버튼 클릭 (예제에서는 80포트 차단이라는 이름 사용)
        

        

   14. IP 필터 마법사 시작 – 다음
        

        

   15. 설명란에 적절한 내용 입력 후 다음
        

        

   16. 원본 주소에 내 IP 주소 선택 후 다음
        

        

   17. 대상 주소에 모든 IP 주소 선택 후 다음
        

        

   18. 프로토콜에서 TCP 선택 후 다음
        

        

   19. 모든 포트에서 선택 – 이 포트로 선택 – 80 입력 – 다음
        

        

   20. IP 필터 마법사 완료 – 마침
        

        

   21. 확인 버튼 클릭
        

        

   22. 80포트 차단 선택 – 다음
        

        

   23. 필터 동작 – 추가 버튼 클릭
        

        

   24. IP 보안 필터 동작 마법사 시작 – 다음
        

        

   25. 이름 입력란에 적절한 이름 입력 후 다음 (예제에서는 거부라는 이름 사용)
        

        

   26. 필터 동작 일반 옵션 – 거부 선택 – 다음
        

        

   27. IP 보안 필터 동작 마법사 완료 – 마침
        

        

   28. 필터 동작 – 거부 선택 – 다음
        

        

   29. 보안 규칙 마법사 완료 – 마침
        

        

   30. 추가 버튼 클릭
        

        

   31. IP 보안 규칙 만들기 마법사 시작 – 다음
        

        

   32. 터널 끝점 – 다음
        

        

   33. 모든 네트워크 연결 선택 – 다음
        

        

   34. 추가 버튼 클릭
        

        

   35. 이름 입력란에 적절한 이름 입력 후 추가 버튼 클릭 (예제에서는 80포트 허용 목록이라는 이름 사용)
        

        

   36. IP 필터 마법사 시작 – 다음
        

        

   37. 설명 입력란에 적절히 입력 후 다음
        

        

   38. 원본 주소에서 내 IP 주소 선택 – 다음
        

        

   39. 대상 주소에서 특정 IP 주소 또는 서브네트 선택
        

        

   40. IP 주소 또는 서브네트 입력란에 원하는 IP 대역 입력 후 다음 (예제에서는 192.168.20.0/24 사용)
        

        

   41. 프로토콜 종류 선택에서 TCP 선택 후 다음
        

        

   42. 모든 포트에서 – 이 포트로 – 80 – 다음
        

        

   43. IP 필터 마법사 완료 – 다음
        

        

   44. 확인
        

        

   45. 80포트 허용 목록 선택 후 다음
        

        

   46. Permit 선택 – 다음
        

        

   47. 보안 규칙 마법사 완료 – 마침
        

        

   48. 80포트 허용 목록, 80포트 차단 체크 후 확인
        

        

   49. 방금 생성한 정책 오른쪽 버튼 클릭 – 할당
       
       
       

정책 적용

만들어진 정책을 컴퓨터가 속한 OU에 적용합니다. 이 가이드에서는 컴퓨터 정책으로 생성하였으므로 컴퓨터가 속한 OU에 적용해야 합니다. 사용자가 속한 OU에 걸면 아무 소용 없습니다.

클라이언트 컴퓨터에서 확인

정책을 적용하기 전에는 웹 페이지 접속이 가능합니다..

정책을 적용한 후에는 웹 페이지 접속이 안됩니다.

하지만 예외로 등록했던 IP 대역(192.168.20.0/24)의 웹 페이지는 접속 가능합니다.

개요

Active Directory 그룹 정책 – 사용자 정책 중 드라이브 맵을 사용하여 네트워크 드라이브를 연결하는 방법을 소개합니다.

사용자 정책이므로 사용자가 속한 OU에 적용하셔야 합니다.

시나리오에서는 R 드라이브를 연결하는 방법을 소개합니다.

파일 서버에 존재하는 공유 폴더를 네트워크 드라이브로 연결하는 방법을 소개하며, 공유 폴더 생성 및 권한 부여에 대한 설명은 생략합니다.

1. 그룹 정책 생성

1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
   (예제에서는 U-Drive Mapping (R) 이라는 이름의 정책 생성)
    

    

2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
    

    

3. 사용자 구성 – 기본 설정 – Windows 설정 – 드라이브 맵 오른쪽 버튼 클릭 – 새로 만들기 – 매핑된 드라이브 선택
    

    

4. 일반 탭 
   동작에서 삭제 선택
   드라이브 문자 영역에서 다음부터 모두 삭제 선택 후 삭제할 네트워크 드라이브 레터 시작 알파벳 지정 후 확인
   (예를 들어, F 드라이브부터 Z 드라이브까지 지운다면 F 지정, R 드라이브부터 Z 드라이브 까지 지운다면 R을 지정)
    

    

5. 드라이브 맵 오른쪽 버튼 클릭 – 새로 만들기 – 매핑된 드라이브 선택
    

    

6. 일반 탭 
   동작에서 바꾸기 선택
   위치 입력란에 네트워크 공유 경로 입력
   다시 연결 체크, 지정할 레이블에 적절한 이름 입력
   드라이브 문자 사용 선택 후 적절한 드라이브 레터 선택
   연결 계정(옵션)은 필요한 경우 입력 (Ex. WORKGROUP 혹은 타 도메인의 경우에 주로 사용)
    

    

7. 생성된 정책 확인
    

    

2. 정책 적용

만들어진 정책을 사용자가 속한 OU에 적용합니다. 사용자 정책으로 생성하였으므로 사용자가 속한 OU에 적용해야 합니다. 컴퓨터가 속한 OU에 걸면 아무 소용 없습니다.

3. 클라이언트 컴퓨터에서 확인

윈도우 탐색기에서 네트워크 드라이브가 연결된 것을 확인할 수 있습니다..

• 정책 적용 후
   

개요
Active Directory 환경에서는 그룹 정책을 사용하여 소프트웨어를 사용자에게 배포할 수 있습니다.
주의하셔야 할 것은, 모든 소프트웨어를 배포할 수 있는게 아니라 .msi 확장자를 가진 파일만 배포할 수 있습니다. 즉 .exe 파일은 배포할 수 없습니다.

소프트웨어 배포는 할당(Assigning)과 게시(Publishing)로 나뉩니다.

할당
할당은 사용자와 컴퓨터 개체에 적용할 수 있습니다.
사용자에게 할당한 소프트웨어는 시작 메뉴에 표시되며, 사용자가 클릭할 때 설치됩니다.
컴퓨터에게 할당한 소프트웨어는 컴퓨터가 시작될 때 설치됩니다.

게시
게시는 사용자 개체에만 적용할 수 있습니다.
프로그램 추가/제거 – 네트워크에서 프로그램 설치 메뉴에 표시되고, 사용자가 필요할 때 설치할 수 있습니다.

이 가이드에서는 소프트웨어 게시를 사용하여 7zip을 배포하는 방법에 대해서 설명합니다.

1. 배포 지점 만들기
공유 폴더 생성 후 배포할 파일을 저장합니다. 공유 권한은 파일을 배포할 사용자에게 읽기 권한을 부여합니다. (이 가이드에서는 기본, 즉 everyone에 읽기 권한을 부여합니다.)

2. 그룹 정책 생성

1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
(예제에서는 U-Software Deployment (Publishing)이라는 이름의 정책 생성)

2. 그룹 정책 편집 – 사용자 구성 – 소프트웨어 설정 – 소프트웨어 설치 오른쪽 버튼 클릭 – 새로 만들기 – 패키지

3. UNC 경로를 사용하여 배포 지점의 파일 선택 (*주의 - .msi 만 배포할 수 있습니다.)
(\\FileServer\SoftwareDploymentFolder\7Zip\7z920-x64.msi)

4. 소프트웨어 배포 – 게시 선택 후 확인

5. 게시된 소프트웨어 확인

3. 정책 적용
만들어진 정책을 사용자가 속한 OU에 적용합니다. 사용자 정책으로 생성하였으므로 사용자가 속한 OU에 적용해야 합니다. 컴퓨터가 속한 OU에 걸면 아무 소용 없습니다.

4. 게시된 소프트웨어 확인

1. 제어판 - 프로그램 추가/제거 – 네트워크에서 프로그램 설치 메뉴를 선택합니다.

2, 게시된 소프트웨어가 보이는지 확인합니다.

1. 개요

이 가이드에서는 AD 휴지통 기능을 통한 삭제된 개체 복원 방법에 대해 설명합니다.

참고로, AD 휴지통 기능을 활성화 한 이후에는 다시 비활성화가 불가능합니다.

2. AD 휴지통 기능 요구 사항

AD 포리스트 기능 수준이 Windows Server 2008 R2 이상이어야 합니다. 당연히 모든 도메인 컨트롤러의 OS가 Windows Server 2008 R2 이상이어야 합니다. 이 가이드에서는 모든 도메인 컨트롤러의 OS가 Windows Server 2012 R2인 상태입니다.

Windows Server 2012 도메인 컨트롤러에서 도메인 및 포리스트 기능 수준은 아래와 같이 확인할 수 있습니다.

1. 서버 관리자 – 도구 – Active Directory 관리 센터 실행

2. 도메인 명 선택 – 도메인 기능 수준 올리기 선택 – 도메인 기능 수준 확인

3. 포리스트 기능 수준 올리기 선택 – 포리스트 기능 수준 확인

3. AD 휴지통 기능을 사용하도록 설정

AD 휴지통 기능 활성화 역시 Active Directory 관리 센터에서 설정할 수 있습니다.

AD 휴지통 기능을 활성화 한 이후에는 다시 비활성화 시킬 수 없습니다.

1. Active Directory 관리 센터 – 도메인 명 – 휴지통 사용 선택.

2. 휴지통 사용 확인 경고 창 – 확인 

3. 확인 

4. 새로 고침

5. Deleted Objects 컨테이너가 표시되는지 확인

4. 삭제된 AD 개체 복원

Active Directory 휴지통 기능을 활성화 한 이후에는, AD 개체 삭제 시 바로 삭제되지 않고 Deleted Objects 컨테이너에 들어가 있다가 180일이 지나면 삭제됩니다.

시나리오에서는 salesuser03 이라는 사용자 계정을 복원합니다.

1. Active Directory 관리 센터 – 도메인 명 – Deleted Objects 컨테이너로 이동

2. 복원하려는 개체를 오른쪽 버튼 클릭 - 복원.

3. 개체가 복원 되었는지 확인해 봅니다.

(그룹 정책) 이동식 디스크(USB) 차단 정책

by megapain

essay333@naver.com

2015-01-30

개요

Active Directory 그룹 정책을 활용하면 USB, CD 등의 이동식 미디어의 읽기 및 쓰기를 제한할 수 있습니다. 이 정책은 사용자 구성과 컴퓨터 구성 모두 존재합니다.

1. 그룹 정책 생성

1. 적절한 이름으로 정책을 만듭니다.
   (예제에서는 U-Drive Mapping (R) 이라는 이름의 정책 생성)
    

    

2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
    

    

3. 컴퓨터에 적용할 정책으로 구성할 경우,
   컴퓨터 구성 – 정책 – 관리 템플릿 – 시스템 – 이동식 저장소 액세스 선택
   
   
   사용자에 적용할 정책으로 구성할 경우,
   사용자 구성 – 정책 – 관리 템플릿 – 시스템 – 이동식 저장소 액세스 선택
    

    

4. 이동식 디스크 : 실행 권한 거부 - 사용 
   이동식 디스크 : 읽기 권한 거부 – 사용
   이동식 디스크 : 쓰기 권한 거부 - 사용
   
   

2. 정책 적용

만들어진 정책을 사용자 혹은 컴퓨터가 속한 OU에 적용합니다.

3. 클라이언트 컴퓨터에서 확인

정책이 올바로 적용됐는지 확인해봅니다.

• 정책 적용 후
  

만약 Windows Server 2003 서버를 도메인 컨트롤러로 사용 중이라면, 상위 버전으로 마이그레이션 하는 것을 권장합니다.

Active Directory 마이그레이션 절차는 아래의 조건에 따라 달라집니다.

1. 기존 도메인 컨트롤러 정보 (도메인 컨트롤러 이름, IP 정보)를 유지할 필요 없는 경우

2. 기존 도메인 컨트롤러 정보 (도메인 컨트롤러 이름, IP 정보)를 그대로 유지해야 하는 경우

기존 도메인 컨트롤러 정보를 유지할 필요 없는 경우라면, 작업이 수월합니다.

기존 도메인 컨트롤러 정보를 유지해야 한다면, 작업 절차가 좀 더 까다롭습니다.

[시나리오 환경]

도메인 : Contoso.com

[기존 도메인 컨트롤러 정보를 유지할 필요 없는 경우]

기존 도메인 컨트롤러 정보를 유지할 필요 없는 경우라면, 아래와 같은 절차로 마이그레이션을 진행합니다.

1. 신규 서버 2대 준비

새로운 도메인 컨트롤러로 사용할 서버 2대를 준비합니다.

서버 명은 원하는 이름으로 설정합니다.

2. 두 서버 모두 도메인에 가입하고 재부팅합니다.

3. ContosoDC03 : 재부팅 후 도메인 Administrator 로 로그온합니다.

4. ContosoDC03 : Active Directory 도메인 서비스를 설치합니다.

5. ContosoDC03 : 도메인 컨트롤러로 승격합니다.

6. ContosoDC03 : 도메인 컨트롤러로 승격 후 서버가 자동으로 재 부팅됩니다.

7. ContosoDC04에서 앞의 3단계 부터 6단계 까지의 작업을 진행합니다.

8. 작업 마스터 역할을 ContosoDC01에서 ContosoDC03으로 전송합니다.

9. ContosoDC01, ContosoDC02 서버에서 도메인 컨트롤러 역할을 제거합니다. (dcpromo.exe )

10. 도메인 기능 수준, 포리스트 기능 수준을 최상 (Windows Server 2012 R2)으로 업그레이드 합니다.

[옵션 작업]

11. SYSVOL 복제 방식을 파일 복제 방식(FRS)에서 분산 복제 방식(DFS-R)으로 변경합니다.

[추가 작업]

도메인 컨트롤러의 IP를 기존 서버와 동일하게 변경합니다.

Active Directory 마이그레이션 작업이 완료되었습니다.

dcdiag.exe, repadmin.exe 등을 활용하여 Active Directory를 점검해봅니다.

[시나리오 환경]

도메인 : Contoso.com

[기존 도메인 컨트롤러 정보를 유지해야 하는 경우]

기존 도메인 컨트롤러 정보를 유지해야 한다면, 아래의 절차로 진행합니다.

1. 작업 마스터 역할을 갖고 있지 않은 도메인 컨트롤러, 즉 ContosoDC02에서 도메인 컨트롤러 역할을 제거합니다.

역할 제거 완료 후 재 부팅합니다.

2. ContosoDC02 재 부팅 후 도메인에서 탈퇴(WORKGROUP)하고 또 재 부팅합니다.

3. 새로운 서버를 준비하고 Windows Server 2012 R2를 설치합니다.

4. 새 Windows Server 2012 R2 서버의 이름 및 IP 정보를 기존 도메인 컨트롤러(ContosoDC02)와 동일하게 설정합니다.

5. ContosoDC02 서버에 Active Directory 도메인 서비스를 설치합니다. 

6. ContosoDC02 서버를 도메인 컨트롤러로 승격합니다.

7. ContosoDC02 : 도메인 컨트롤러로 승격 후 서버가 자동으로 재 부팅됩니다.

8. 작업 마스터 역할을 ContosoDC01에서 ContosoDC02로 전송합니다.

9. ContosoDC01에서 앞의 1단계 부터 8단계 까지의 작업을 진행합니다.

10. 도메인 기능 수준, 포리스트 기능 수준을 최상 (Windows Server 2012 R2)으로 업그레이드 합니다.

[옵션 작업]

11. SYSVOL 복제 방식을 파일 복제 방식(FRS)에서 분산 복제 방식(DFS-R)으로 변경합니다.

Active Directory 마이그레이션 작업이 완료되었습니다.

dcdiag.exe, repadmin.exe 등을 활용하여 Active Directory를 점검해봅니다.

그룹 정책으로 Print Screen 키 사용을 차단하는 방법을 설명합니다.
Print Screen 키 사용만 차단되고 다른 화면 캡처 도구를 사용한 화면 캡처는 차단되지 않습니다.

1.Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
(예제에서는 C-Block PrintScreen 라는 이름의 정책 생성)

 
2.생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.

3.컴퓨터 구성 – 기본 설정 – Windows 설정 – 레지스트리를 오른쪽 버튼 클릭하고 새로 만들기 – 레지스트리 항목을 선택합니다.

4.동작 – 업데이트
하 이브 – HKEY_LOCAL_MACHINE
키 경로 - SYSTEM\CurrentControlSet\Control\Keyboard Layout
값 이름 : Scancode Map
값 형식 : REG_BINARY
값 데이터 : 0000000000000000040000002AE037E0000037E00000540000000000

5.만들어진 정책을 컴퓨터가 속한 OU에 적용합니다.