[Windows] Windows Active Directory 알아보기

 

 

 

- 많은 성, 숲, 그리고 강으로 가득 찬 거대한 왕국을 상상해보자. 많은 사람들, 생명체들, 그리고 사물들이 이 왕국을 이루고 있다. 수많은 사람들과 법률 체계 혹은 정책과 같은 모든 것을 체계적으로 유지하고 모든 사람들이 규칙을 따르도록 하기 위해 중앙에서 통제하고 관리하는 King과 Queen이 있다. 그리고 이 둘이 지시하는 그대로 이해하는 Citizen 또한 존재한다. 즉, King과 Queen은 왕국 전체를 담당하며, 담당하기 위한 특별한 권한을 가지고 있다. 또한, Citizen은 각각 고유한 이름과 역할을 담당하고 있으며, 이 왕국 내에 존재하는 정책에 따라야한다.

- 이 왕국 안에서 생활하는 모든 Citizen는 ID카드를 가지고 있다. 즉, 주민등록증과 같은 것을 소유하고 있으며, 이 ID 카드를 가지고 있어야 불시검문에도 신원을 파악할 수 있도록 항시 가지고 다녀야한다. 어떤 한 백성이 ID 카드를 들고 왕국의 큰 성에 들어가고자 한다. 이때, 경비원이 검문을 진행한다. 경비원은 아주 기다란 두루마리를 가지고 있는데, 두루마리 안에 있는 백성들의 이름들이 나열되어 있고 진입하고자 하는 백성과 두루마리 안에 있는 이름이 일치해야 진입을 허용한다.

경비원은 방문한 백성에게 ID카드를 받아서 신원을 파악하고, 암구호를 물어본다. 즉, 왕국에 들어가기 위해서는 두루마리안에 자신의 이름이 있어야하고 그날의 암구호를 정확하게 답변해야 진입이 가능하다.

 

- King과 Queen는 권한이 아주 많다. 법적인 처벌도 내릴 수 있기 때문에, A 백성은 B 백성의 집에 방문할 수 있지만, B 백성은 A 백성에 접근할 수 없도록 판결을 내릴 수 있다. 또한, 왕국에는 다양한 부서가 존재한다. 기사로만 이루어져서 호위를 담당하는 부서부터, 드넓은 숲을 탐험하고 보고하는 부서가 존재한다. 이런 부서에게 맞는 권한을 부여하고 관리한다.

또한, 왕국에 새로운 공사나 연례 축제와 같은 행사와 같은, 왕국에 새로운 환경이 발생하면 많은 백성에 앞에서 발표를 한다. 그리고, 모든 성에 어명을 보내기 위해 마법의 크리스탈을 사용하여 신속하게 보내기도 한다. 따라서, 마법의 왕국의 왕과 여왕이 전체 영역을 관리하고 모든 사람이 규칙을 준수하도록 하는 통제하고 관리한다.

---

- 이러한 왕국을 Active Directory으로 이해하면 쉽다. 약간은 어거지로 끼워맞춘 감이 있기는 하지만, 어느 정도 감은 잡을 수 있었다.

- Domain Controller = King과 Queen

- Citizen =  User & Computer

- ID 카드 & 암구호 = Account & Password

- 부서 = Active Directory Group

- B 백성은 A 백성에 접근할 수 없도록 판결 = ACL

- 백성에 앞에서 발표 = Update

- 마법의 크리스탈 = Network Environment

---

Active Directory(AD)

- 네트워크 환경에서 리소스를 관리하고 구성하는 데 사용되는 Microsoft에서 개발한 디렉토리 서비스.

- 사용자, 컴퓨터, 그룹, 프린터 등 네트워크의 여러 개체에 대한 정보를 저장하는 중앙 데이터베이스 또는 디렉토리

- 일반적으로 사용자 계정, 사용 권한 및 리소스에 대한 액세스를 관리하는 데 도움이 되도록 기업 및 대규모 조직에서 사용

- 목적 : 단일 사용자 로그온, 중앙화된 관리, 빠른 정보 검색 기능 제공

- 사용 프로토콜 = LDAP (Lightweight Directory Access Protocol)

 

1. 특징

1) 사용자 관리

- Active Directory = 컴퓨터 네트워크의 큰 주소록

- 네트워크를 사용할 수 있는 모든 사용자를 추적 및 관리

2) 자원 관리

- 네트워크에서 컴퓨터, 프린터 및 기타 장치와 같은 자원을 정리하고 관리

-  Active Directory를 통하여 특정 자원이 어느 컴퓨터에 있고 누가 사용할 수 있는지 파악 가능

3) 보안

- Active Directory = 네트워크의 보안 요원

- 액세스할 수 있는 사용자를 제어

 ->특정 파일을 볼 수 있는 사용자, 특정 프로그램을 사용할 수 있는 사용자, 볼 수 없는 사용자를 결정

4) 그룹화

- 사용자를 그룹에 넣을 수 있으며 이를 통해 사용 권한 관리 용이. 

예) 특정 그룹의 사용자가 특정 파일에 액세스해야 할 경우 해당 그룹만 들어갈 수 있도록 AD에서 설정할 수 있다.

5) Single Sign-On

- 네트워크에서 다른 컴퓨터나 리소스를 사용할 때마다 사용자 이름과 암호를 입력하지 않도록 도와주며, 로그인하면 사용자를 기억하고 자격 증명을 다시 묻지 않고 다른 항목에 액세스할 수 있다.

6) 중앙 집중식 관리

- 각 컴퓨터로 이동하여 변경하는 대신 Active Directory를 사용하여 관리자가 한 곳에서 변경 가능

예) 암호를 변경하면 해당 암호를 사용하는 모든 곳에서 업데이트된다.

7) 정책 관리

- 네트워크에 대한 특정 규칙 및 정책을 적용 가능

- 여기에는 암호 복잡성 요구 사항, 로그인 시간 제한 등이 포함될 수 있다.

 

 

2. 구성요소

1) 도메인(Domains)

- 컴퓨터, 사용자 및 장치를 포함하는 네트워크 개체의 논리적 그룹

- 도메인은 네트워크 내에서 리소스를 구성하고 관리하는 방법을 제공한다.

2) 도메인 컨트롤러(Domain Controller)

- AD DS(Active Directory Domain Services) 역할을 실행하는 서버

- 도메인 컨트롤러는 사용자를 인증하고 보안 정책을 적용하며 디렉터리 데이터베이스를 유지 관리한다.

3) OU(Organizational Units) [회사 내 부서와 같은 개념]

- 개체를 추가로 구성할 수 있는 도메인 내의 컨테이너 (조직 단위)

- OU는 관리 권한을 위임하고, 특정 개체 집합에 그룹 정책을 적용하기 위해 사용된다. [그룹 정책 적용 최소 단위]

- Active Directory에서의 개체 =  Windows 컴퓨터 (컴퓨터 이름, DNS 정보 및 기타 특성과 같은 정보를 포함) 및 사용자

- 이러한 컴퓨터 개체는 조직 단위(US) 내에 구성될 수 있으며 사용자 및 그룹과 같은 다른 유형의 개체와 동일한 관리 제어 및 그룹 정책의 적용을 받는다.

- OUs는 도메인에서 개체를 그룹화하기 위해 사용되는 컨테이너다.

 

4) 사용자 및 그룹(Users and Groups)

- Active Directory를 사용하여 사용자 계정 및 그룹 계정을 만들 수 있다.

- 사용자를 그룹으로 구성하여 권한 및 액세스 관리를 간소화할 수 있다.

5) 그룹 정책(Group Policy)

- 관리자가 컴퓨터 또는 사용자 그룹에 대한 정책을 정의하고 시행할 수 있는 기능

- 운영 체제 및 응용 프로그램의 다양한 측면을 제어하는 데 사용된다.

6) 트러스트 관계(Trust Relationships)

- 트러스트 관계를 사용하면 한 도메인의 사용자가 다른 도메인의 리소스에 액세스할 수 있다.

- 트러스트는 단방향 또는 양방향으로 이루어질 수 있다.

- 포리스트 내의 다른 도메인 간 또는 별도의 포리스트 간에 설정 가능하다.

7) 포리스트(Forest)

- 공통 스키마와 글로벌 카탈로그를 공유하는 하나 이상의 도메인 모음

- Active Directory에서 가장 높은 수준의 조직을 나타낸다.
- 글로벌 카탈로그(Global Catalog) =  포리스트에 있는 모든 개체의 일부 복제본을 포함하는 분산 데이터 저장소

- 스키마(Schema) = 기본적으로 Active Directory에 저장할 수 있는 개체의 유형 혹은 속성에 대한 청사진

8. 복제(Replication)[이중화]

- Active Directory는 복제를 사용하여 한 도메인 컨트롤러의 디렉터리 데이터베이스에 대한 변경 내용이 동일한 도메인 또는 포리스트 내의 다른 도메인 컨트롤러로 전파가 가능하도록 한다.

---