AD (Active Directory) 개념, 용어, 장점, AD DS 정리

AD (Active Directory) 등장 배경

 

-   조직의 규모가 커질수록 Object의 개수가 많아지기 때문에 관리하는 것이 어려워진다.

-   사용자가 공유 자원의 위치(IP 주소)와 해당 서버의 로컬 사용자 계정 정보를 모두 알고 있어야 정상적으로 접근이 가능하다.

-   위와 같은 문제점을 해결하기 위해서 중앙 서버에 공통된 데이터베이스를 생성하여 각 서버와 클라이언트는 해당 데이터베이스를 공유하여 Object를 검색하고, 중앙에서 사용자 인증 및 권한 부여 처리가 가능하도록 처리해주는 서비스를 Directory Service라고 한다.

 

-   Object(개체)는 User, Computer, 공유 폴더, 프린터 등 각종 자원을 의미한다.

-   Directory는 Object(개체) 정보를 저장할 수 있는 정보 저장소를 의미한다.

-   Directory Service는 Object(개체) 생성, 검색, 관리, 사용할 수 있는 서비스를 의미한다.

-   AD DS는 윈도우 서버에서 제공하는 Directory Service를 의미한다.

 

AD 용어

 

 

1. 도메인(Domain)

 

-   Active Directory의 가장 기본이 되는 단위이다.

-   AD가 설치된 윈도우서버가 하나의 도메인이라고 보면 된다.

-   관리를 하기위한 하나의 큰 단위의 범위를 표현하며, 관리를 위해서 지역적인 범위로 구분될 수 있다.

-   도메인이 여러개 있을 경우 부모 도메인과 자식 도메인으로 구분할 수 있다.

 

 

2. 트리(Tree) 와 포리스트(Forest)

 

-   트리는 도메인의 집합이다. 그러므로 물리적으로 존재한다기보다는 개념적인 것으로 보면 된다.

-  여러개의 트리로 Active Directory가 구성될 경우 이를 포리스트(Forest)라고 부른다.

(도메인 < 트리 < 포리스트라고 생각하면 편하다.)

 

3. 사이트(site)

 

-   도메인이 논리적인 범주라면, 사이트는 물리적인 범주에 가깝다.

-   부모도메인이 ictsec.com이라면 자식 도메인을 생성할 경우 같은 도메인 이더라도 busan.ictsec.com처럼 다른 사이트로 구성이 된다.

 -   사이트는 지리적으로 떨어져 있으며, IP 주소 대가 다르다.

 

4. 트러스트(Trust)

 

-   도메인 또는 포리스트 사이에 신뢰할 지 여부에 대한 관계를 나타내는 의미로 사용된다.

-   트러스트 안 도메인 사이에는 상호 양방향 전이 트러스트를 갖는다. (도메인끼리 서로 신뢰)

 

5. 조직구성 단위(OU)

 

-   도메인 내부에서 사용되는 일종의 폴더와 같은 개념으로 이해할 수 있다.

-   권한 위임과 그룹 정책을 적용할 수 있는 최소한의 단위이다.

 

OU 생성 예시

6. 도메인 컨트롤러(Domain Controller)

 

-   로그인, 이용권한 확인, 새로운 사용자 등록, 암호 변경 등을 처리하는 기능을 하는 서버 컴퓨터를 도메인 컨트롤러라고 한다.

-   Active Directory에서 도메인 서비스를 구현할 경우 도메인에 하나 이상의 DC(Domain Controller)를 설치해야 한다.

 

7. 글로벌 카탈로그(Global catalog)

 

-   AD 트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장되는 통합 저장소이다. 

-   사용자의 경우 이름, 아이디, 비밀번호 등의 정보가 글로벌 카탈로그에 저장된다.

AD 장점

-   서버가 많아질수록 인증 절차가 점점 복잡해지지만 AD DS을 이용하면 단일화된 로그인 처리가 가능하다. (하나의 서버에서 모든 인증 처리를 할 수 있다.)

-   공유 자원에 대한 정보 검색이 편리하다.

-   네트워크 환경에서 Domain 자원을 공유할 수 있다.

-   네트워크 상으로 나눠져 있는 여러 가지 Object(개체)를 중앙에서 모든 관리를 수행해서 본사 및 지사 직원들은 더 이상 자신의 PC에 모든 정보를 보관할 필요가 없어진다.

-   지사에 출장을 갈 경우 자신의 아이디로 로그인만 하면 타인의 PC가 자신의 PC환경과 마찬가지로 변경된다.

                                                                                                                                

AD DS(Active Directory Domain Service)

-  Object(개체)에 대한 정보를 네트워크 상에 저장하면 Active Directory Domain Service는 이러한 정보들을 통합하여 관리하게 된다.

 

AD DS를 구성 후 사용자 계정 구분

 

1.   Local 계정 파일 (SAM File)

 

-   Domain 관련 작업은 수행할 수 없고 해당 컴퓨터, 즉 Local에서만 작업이 가능하다.

-   컴퓨터 이름\계정명 으로 표현한다. (WIN7-A\Administrator) 

 

2.   Domain 계정

 

 

-   도메인 관련 작업 및 공유 자원에 대한 접근이 가능한 계정이다.

-   도메인 이름\계정명 으로 표현한다. (ICTSEC\Administrator)

-   위와 같은 계정 표현 방식은 NetBios 이름이다.

-   NetBios는 MS사에서 사용하는 방식으로 오늘날에는 NetBios 방식보다 UPN방식을 권장한다.(administrator@ictsec.com)

-   로컬 계정명이 도메인 안에 있는 계정에 포함되어있지 않다면 접근할 수 없다.