직원들의 사용자 계정을 강제적으로 “다음 번 로그온할 때 반드시 암호를 변경”하도록 설정하기


회사의 사용자 계정에 대한 암호가 유출된 것 같을 때 즉시에 직원들에게 자신의 암호를 변경하도록 할 때 어떻게 하면 되는가?
이 때는 GUI 및 PowerShell 명령어를 사용하면 쉽게 해결할 수 있다.

1) 사용자 계정에 대한 속성에 다음과 같이 변경하고자 한다.
여러 계정을 복수로 한꺼번에 선택하여 [속성]에서 변경하면 된다

0    1

 

이렇게 하면 같은 OU에 있는 것은 쉽게 선택하여 처리할 수 있지만 사용자 계정이 여러 OU에 산재되어 있으면 어렵다.
이럴 때는 PowerShell을 사용하면 된다.

2) 특정한 사용자 한 명에 대하여
Help Set-ADUser
여기에서 -ChangePasswordAtLogon이라는 Parameter(매개변수)가 있는 것을 확인하고, 이것을 이용한다

Get-ADUser -Identity dan | Set-ADUser -ChangePasswordAtLogon $True
이 계정으로 로그온을 시도한다
2 3 4 5

3) 특정한 OU(Sales)에 속한  모든 사람에게 이 기능 적용하려면….

$sales = Get-ADuser -Filter * -Searchbase “ou=sales, ou=Lab, dc=MCTconnected,dc=com”
$sales | Set-ADUser -ChangePasswordAtLogon $true

4) 부서가 Marketing인 모든 사람들만 적용하려면…

$marketing = Get-ADUser -Filter {department -like “Marketing”} 
$marketing | Set-ADUser -ChangePasswordAtLogon $True

 

 

Hyper-V Host에서 실행중인 특정한 VM이 인터넷 접속 요청을 Hyper-V에서 차단하기


Hyper-V host에서 운영중인 VM이 특정한 컴퓨터에 접속을 못하도록 Hyper-V host단에서 차단해보자.
일단 http://로 접속하는 외부로의 80 포트 접속을 차단하면 다음과 같이 설정하면 된다.
1) CentOS6.5 VM에서 인터넷 접속을 시도한다.
접속이 성공
2) PowerShell을 관리자 권한으로 실행한다
3) 특정한 VM이 특정한 Port인 80, 안에서 밖으로의 접속하는 것을 차단
어떤 VM이 운영중인지 확인하기
Get-VM
여기서 CentOS6.5라는 VM이 있다는 것을 알 수 있다.
이제는 CentzoS6.5라는 VM에서 인터넷 접속(80포트)을 차단해 보자.
Add-VMNetworkAdapterExtendedACL -VMName CentOS6.5 -RemotePort 80 -Action Deny -Direction Outbound -Weight 0
 

4) CentOS6.5 VM에서 인터넷 접속을 시도한다.

접속 실패!

5) 다시 막은 것을 풀어 준다
Get-VMNetworkAdapterExtendedACL -VMName CentOS6.5 | Remove-VMNetworkAdapterExtendedACL

 
6) CentOS6.5 VM에서 인터넷 접속을 시도한다.
접속이 성공
이렇게 성공하면 Hyper-V host에서 실행중인 VM을 외부로 나가거나(-Direction Outbound) 내부로 들어 오는 트래픽(-Direction Inbound) 80 포트만 막는 것이 아니라, 또한 3389, ftp 등등을 막을 수 있다.

Hyper-V에서 사용하는 NIC의 VMDq 및 SR-IOV 기술 이해하기


Hyper-V에서 VM을 운영할 때 네트워크에서 부하가 걸려서 문제가 된다. 그래서 네트워크 문제를 해결하기 위해서 VMDq 또는 SR-IOV 기술을 이용하면 된다.

VMDq는 Windows Server 2008 R2에서부터 지원하고, SR-IOV는 Windows Server 2012 Hyper-V에서부터 지원된다.

그리고 이 기능이 지원되는 NIC에서만 가능하다. 즉, 서버용 NIC에서만 된다는 것이다.

– Hyper-V에서 Virtual Switch는 VM간의 통신을 위해서 Hub 역할과 같다고 생각하면 이해가 싶다.

– Physical NIC에 VMDq 기능을 설정하고 각 VM에서도 VMDq 기능을 설정하면 Bridge와 같은 역할을 한다고 생각하면 된다. 즉, CPU core는 각각의 VM으로 들어오는 패킷을 전용으로 처리한다.

– SR-IOV가 지원되는 NIC를 장착했을 때 Hyper-V manager에서 Virtual Switch를 생성할 때 SR-IOV를 설정하면 VM으로 들어오는 패킷을 CPU의 개입 없이 NIC가 직접 각각의 VM에 패킷을 전달하므로 Hyper-V의 Virtual Switch에 부하를 주지 않으므로 네트워크 I/O가 상당히 좋아 진다. SR-IOV를 비유하면 Switch와 비슷하다.

자세한 내용은 아래 동영상을 참고하면 된다.

 

 

 

 

 

로컬 컴퓨터에 연결된 Remote Session 확인 및 끊기


  1. Powershell의 장점은 원격 연결 기능이다. 그런데 내 로컬 컴퓨터에 접속한 원격 컴퓨터와 그 사용자 계정을 확인하려면 어떻게 하면 되는가? 그리고 그 원격 세션을 한꺼번에 끊고자 할 때는 어떤 작업을 하면 될까?
  1. 원격 컴퓨터에서 내 컴퓨터로 연결된 세션을 확인하려면 로컬 컴퓨터에서 다음과 같이 하면 된다.
    1. Get-WSManInstance -ConnectionURI (‘http://{0}:5985/wsman‘ -f $env:computername) -ResourceURI shell -Enumerate | Select-Object -Property Owner, ClientIP
  1. 또 내 컴퓨터에 연결된 원격 세션을 끊으려면 다음과 같이 하면 된다.
    1. Restart-Service -Name WinRM
  2. 원격 컴퓨터(Lon-CL1, LON-DC1)에서 로컬 컴퓨터(LON-SVR1)에 연결해본다.
    1. Enter-PSSession -ComputerName Lon-SVR1
  3. 이제는 로컬 컴퓨터(LON-SVR1)에서 위의 2번과 같이 원격 세션을 확인한다
  4. 이제는 원격 세션을 위의 3번과 같이 한꺼번에 끊는다.
  5. 이제는 원격 세션이 끊어졌는지 위의 2번과 같이 확인하다