#20250131
액티브 디렉터리
win7
어댑터에 브릿지
dhcp로 ip 받고 dns > 192.168.0.103
시작 > 컴퓨터 우클릭 > 속성 > 컴퓨터 이름, 도메인 및 작업 그룹 설정 > 설정 변경 >
이름 : PC112 , 도메인 : st.kr > 확인
administrator
p@ssw0rd!@123
다시 시작 후 로그인창에서 사용자 전환 후
kje@st.kr
p@ssw0rd
로 로그인 하면 된다.
사용자 로그인
kje@st.kr
p@ssw0rd
관리자 계정
PC009\manager
액티브 디렉터리 직접 세팅
-네트워크 고정 (192.168.56.101)
-호스트 이름 설정 (Win2025)
-AD 설치
Win7 새로 올리기
호스트 전용 어댑터
192.168.56.102/24
dns : 192.168.56.101
이름 변경 : PC102
win11
시작 우클릭 > 시스템 > 이 PC의 이름 바꾸기 : Win2025
스냅샷 2
서버 관리자 : add roles and features
next
next
next
ActiveDirectoryDomainService 체크
Add features
next
next
restart the destivation 체크
next
설치
promote the server to a domain controller 클릭
add a new forest
Root domain name : st.kr 입력
next
password : p@ssw0rd
confirm : p@ssw0rd
ST 확인
next
next
next
install
Tools > active directory users and computers
st.kr > Users 디렉터리 위에서 우클릭 > 새로 만들기 > 사용자
아까와 같이 Win7 설정
시작 > 컴퓨터 우클릭 > 속성 > 컴퓨터 이름, 도메인 및 작업 그룹 설정 > 설정 변경 >
이름 : PC102 , 도메인 : st.kr > 확인
administrator
p@ssw0rd!@123
다시 시작 후 로그인창에서 사용자 전환 후
kje@st.kr
p@ssw0rd!@123
으로 로그인 하면 된다.
-----
일반 사용자로 컴퓨터에 프로그램 설치가 가능할까?
AD가 걸려있는 컴퓨터 (ADClient)에서 splunk를 설치하려고 시도하면 관리자의 암호를 입력하라는 창이 뜬다.
즉. 관리자에 의해서 설치가 막힌 것을 확인할 수 있다.
그렇다면 다른 기능은 가능할까?
IP 변경 시도 : 불가능
파일 삭제 : 불가능
사용자 접근 권한 설정
Tools > active directory users and computers
st.kr > User 디렉터리 > 설정을 원하는 사용자 위에서 우클릭 > 속성 > 계정 > login hours
설정 하고 win7 pc 다시시작 하면 로그인이 막힌 것을 확인할 수 있다.
----
새로운 우분투 불러와서 splunk 설치.
> tar xvzf splunkforwarder-<…>-Linux-x86_64.tgz
> cd /home/master/splunk/bin
./splunk start
admin
12345678
http://localhost:8000 접속 가능하다.
splunk 서버 호스트 전용 어댑터로 변경
> nano /etc/netplan/50-clould-init.yaml
dhcp4: no
addresses: [192.168.56.103/24]
nameservers:
addresses: [192.168.56.101]
> netplan apply
> cd /home/master/splunk/etc/system/local
> nano server.conf
[diskUsage]
minFresSpace=50
[queue]
maxSize=1024MB
win11에서 http://192.168.56.103:8000으로 접속.
상단 메뉴 > 설정 > 전달 및 수신 > 수신 설정 - 새로추가 > 9997
설정 > 서버 설정 > 일반 설정 > 인덱스 설정 - 디스크 여유공간이 다음 크기(MB) 이하가 되면 인덱싱 중지 : 500으로 수정
---
Win7에서 splunkforwarder 설치
customise options 경로 체크
next
localsystem 체크
next
log 전부 체크
next
username : admin
password : 12345678
next
192.168.56.103, 8089
192.168.56.103, 9997
설치 권한
administrater
p@ssw0rd!@123
cmd > netstat -ant | find "9997"
Win11
http://192.168.56.103:8000
설정 > 데이터 입력 > 전달된 입력 > windows 이벤트 로그 > 새 원격 windows 이벤트 로그
win7
어댑터에 브릿지
dhcp로 ip 받고 dns > 192.168.0.103
시작 > 컴퓨터 우클릭 > 속성 > 컴퓨터 이름, 도메인 및 작업 그룹 설정 > 설정 변경 >
이름 : PC112 , 도메인 : st.kr > 확인
administrator
p@ssw0rd!@123
다시 시작 후 로그인창에서 사용자 전환 후
kje@st.kr
p@ssw0rd
로 로그인 하면 된다.
사용자 로그인
kje@st.kr
p@ssw0rd
관리자 계정
PC009\manager
액티브 디렉터리 직접 세팅
-네트워크 고정 (192.168.56.101)
-호스트 이름 설정 (Win2025)
-AD 설치
Win7 새로 올리기
호스트 전용 어댑터
192.168.56.102/24
dns : 192.168.56.101
이름 변경 : PC102
win11
시작 우클릭 > 시스템 > 이 PC의 이름 바꾸기 : Win2025
스냅샷 2
서버 관리자 : add roles and features
next
next
next
ActiveDirectoryDomainService 체크
Add features
next
next
restart the destivation 체크
next
설치
promote the server to a domain controller 클릭
add a new forest
Root domain name : st.kr 입력
next
password : p@ssw0rd
confirm : p@ssw0rd
ST 확인
next
next
next
install
Tools > active directory users and computers
st.kr > Users 디렉터리 위에서 우클릭 > 새로 만들기 > 사용자
아까와 같이 Win7 설정
시작 > 컴퓨터 우클릭 > 속성 > 컴퓨터 이름, 도메인 및 작업 그룹 설정 > 설정 변경 >
이름 : PC102 , 도메인 : st.kr > 확인
administrator
p@ssw0rd!@123
다시 시작 후 로그인창에서 사용자 전환 후
kje@st.kr
p@ssw0rd!@123
으로 로그인 하면 된다.
-----
일반 사용자로 컴퓨터에 프로그램 설치가 가능할까?
AD가 걸려있는 컴퓨터 (ADClient)에서 splunk를 설치하려고 시도하면 관리자의 암호를 입력하라는 창이 뜬다.
즉. 관리자에 의해서 설치가 막힌 것을 확인할 수 있다.
그렇다면 다른 기능은 가능할까?
IP 변경 시도 : 불가능
파일 삭제 : 불가능
사용자 접근 권한 설정
Tools > active directory users and computers
st.kr > User 디렉터리 > 설정을 원하는 사용자 위에서 우클릭 > 속성 > 계정 > login hours
설정 하고 win7 pc 다시시작 하면 로그인이 막힌 것을 확인할 수 있다.
----
새로운 우분투 불러와서 splunk 설치.
> tar xvzf splunkforwarder-<…>-Linux-x86_64.tgz
> cd /home/master/splunk/bin
./splunk start
admin
12345678
http://localhost:8000 접속 가능하다.
splunk 서버 호스트 전용 어댑터로 변경
> nano /etc/netplan/50-clould-init.yaml
dhcp4: no
addresses: [192.168.56.103/24]
nameservers:
addresses: [192.168.56.101]
> netplan apply
> cd /home/master/splunk/etc/system/local
> nano server.conf
[diskUsage]
minFresSpace=50
[queue]
maxSize=1024MB
win11에서 http://192.168.56.103:8000으로 접속.
상단 메뉴 > 설정 > 전달 및 수신 > 수신 설정 - 새로추가 > 9997
설정 > 서버 설정 > 일반 설정 > 인덱스 설정 - 디스크 여유공간이 다음 크기(MB) 이하가 되면 인덱싱 중지 : 500으로 수정
---
Win7에서 splunkforwarder 설치
customise options 경로 체크
next
localsystem 체크
next
log 전부 체크
next
username : admin
password : 12345678
next
192.168.56.103, 8089
192.168.56.103, 9997
설치 권한
administrater
p@ssw0rd!@123
cmd > netstat -ant | find "9997"
Win11
http://192.168.56.103:8000
설정 > 데이터 입력 > 전달된 입력 > windows 이벤트 로그 > 새 원격 windows 이벤트 로그