AD(Active Directory)란?

: Active Directory는 마이크로소프트가 Windows 환경에서 사용하기 위해 개발한 *LDAP **디렉토리 서비스(Directory Service)의 기능.

- 사용자가 공유된 자원의 위치(IP주소나 포트 등)와 해당 서버의 로컬 사용자 계정 정보를 모두 알고 있지 않아도,
  중앙에서 Admin이 사용자 인증 및 권한 부여 처리가 가능하도록 하여, 기업 내의 자원 및 권한 관리에 용이.

- 관리를 위한 별도의 콘솔(***MMC)를 사용.

 

* LDAP(Lightweight Directory Access Protocol) : TCP/IP 위에서 디렉토리 서비스를 조회하고 수정하는 응용 프로토콜.

 

** 디렉토리 서비스(Directory Service) : 분산된 네트워크 환경에서 네트워크의 사용자와 네트워크 자원에 대한 정보를  중앙의 저장소에 통합하고 조직 및 관리하는 응용 소프트웨어. 사용자와 공유된 자원 사이에서 추상 계층으로 동작.
 - 디렉토리 서비스 안에서 관리되고 있는, 이름이 있는 객체에 대한 정보를 가지고 있는 DB를 말하는 '디렉토리' 그 자체와 혼동 X

 

*** MMC(Microsoft Managemnet Console) : Windows의 구성 요소로, 시스템 관리자 및 고급 사용자에게 시스템을 관리하고 구성할 수 있도록 도와주는 유연한 인터페이스 제공.
- 장치 관리자, 디스크 조각 모음, 인터넷 정보 서비스(IIS), 디스크 관리, 이벤트 뷰어, 로컬 사용자 및 그룹, 공유 폴더 등의 도구를 포함. 

- 컴퓨터 관리는 다른 윈도우 컴퓨터와 함께 구성될 수 있으며, 로컬 컴퓨터에서 사용자가 접근하려는 다른 컴퓨터를 감시하고 구성할 수 있게끔 도와줌.


AD 관련 용어

AD 개념도

  • 도메인(Domain)
    - AD에서 기본이 되는 관리 대상 단위
    - AD가 설치된 윈도우 서버가 하나의 도메인으로 보면 됨.
    - 도메인이 여러개 있을 경우, 부모 도메인자식 도메인으로 구분

  • 트리(Tree)포리스트(Forest)
    - 트리 : 도메인의 집합. (물리적으로 존재한다기보단 논리적인 개념)
    - 포리스트 : 트리의 집합

  • 사이트(Site)
    - 논리적 구조인 Domain/Forest가 물리적으로 구성된 환경. 
    Site의 개념도 / 출처:https://ossian.tistory.com/50?category=757844

    - 도메인 컨트롤러 간에 Replication 구성시 사용. (하나의 도메인에 여러개의 도메인 컨트롤러 구성 가능.)
      => 도메인 컨트롤러들은 AD 정보(Object, 구성, 설정 등)에 대하여 상호간 복제하여
           연속성, 분산처리 등의 기능을 수행.
    - Site LinkWAN을 통하여 Domain Controller 간의 복제와 분산처리를 가능하게 하는 역할.
    - 부모도메인이 'ictsec.com' 이라고 가정하고 자식 도메인을 생성할 경우, 'seoul.ictsec.com', 'busan.ictsec.com' 처럼 각각 다른 사이트로 구성할 수 있음.
    - 사이트는 지리적으로 떨어져 있을 수 있으며, 이때 각각의 IP 주소는 대개 다름.


  • 트러스트(Trust)
    - 도메인 간에 설정한 관계로, 한 도메인의 사용자가 다른 도메인의 컨트롤러에서 인증될 수 있도록 한 관계.
    - 포리스트 내 도메인 간 AD 트러스트는 모두 전이적(transitive) 양방향 트러스트임.
      ex) 도메인 A -> 도메인 B 를 트러스트하고, 도메인 B -> 도메인 C 를 트러스트한다면,
           별다른 설정이 없을 경우 도메인 C가 도메인 A의 리소스에 액세스 가능.

  • 조직구성 단위(OU, Organizational Unit)
    - 도메인 내부에서 사용되는 일종의 폴더와 같은 개념.
    - 권한 위임 및 그룹 정책을 적용할 수 있는 최소한의 단위.

  • 도메인 컨트롤러(Domain Controller)
    - 로그인, 이용권한 확인, 새로운 사용자 등록, 암호 변경 등을 처리하는 기능을 하는 서버 컴퓨터.
    - 하나의 도메인에 하나 이상의 도메인 컨트롤러를 설치해야 함.

  • 글로벌 카탈로그(Global Catalog)
    - AD 트러스트 내의 도메인들에 포함된 개체에 대한 정보들이 수집되어 저장되는 통합 저장소.
    - 사용자의 경우 이름, 아이디, 비밀번호 등의 정보가 여기에 저장됨.
    - 한 도메인에서 오브젝트를 찾을 때, 해당 오브젝트가 그 도메인에 없다면, 도메인이 속한 포리스트 내부의 다른 도메인에서도 오브젝트를 찾아야 하는데, 이를 가능하게끔 하는 것이 통합 저장소인 글로벌 카탈로그이다.
      => 만약, 오브젝트를 오브젝트가 속한 해당 도메인에서만 찾게끔 하려고 한다면,
           오브젝트 속성에서 Global Catalog 옵션을 제거하면 된다.

 


AD 도입 시 고려사항

  • Windows Server, Client, 각종 Device들이 Active Directory Domain에 가입되어야 함.
    => PC A에서 로그인 하던 계정을 PC B에서 계정생성 없이 기존에 사용하던 그대로의 환경을 가지고 로그인하고 싶다면 PC A와 PC B 모두 Active Directory Domain에 가입되어 있어야 한다.
  • AD Domain에 가입하려면 Windows Server, Client, 각종 Device들의 DNS 서버를 Active Directory 서버로 변경해야 함.
      (AD에는 DNS 기능이 포함되어 있으며, 별도의 DNS 서버도 구축 가능.)
  • AD에는 무수히 많은 Service가 연결되므로, AD에 장애가 생길 경우 그만큼 많은 Service에 영향을 미칠 수 있음.
    => 여러 AD Domain을 구성하여 Service와 역할을 나누어 관리할 필요가 있음.

 

 

 

참고

https://peemangit.tistory.com/68

 

AD (Active Directory) 개념, 용어, 장점, AD DS 정리

AD (Active Directory) 등장 배경 -  조직의 규모가 커질수록 Object의 개수가 많아지기 때문에 관리하는 것이 어려워진다. -  사용자가 공유 자원의 위치(IP 주소)와 해당 서버의 로컬 사용자 계정 정보

peemangit.tistory.com

https://mpain.tistory.com/153

 

Active Directory란? (개념, 용도와 활용, 고려 사항등)

제 블로그에 Active Directory나 그룹 정책에 대한 글들이 많은데, 정작 Active Directory가 무엇인지 설명하는 글은 없었네요. 가능한 쉽게 설명해보려 하는데, 제 생각대로 될지 모르겠습니다. Active Direc

mpain.tistory.com

https://ossian.tistory.com/47?category=757844 

 

[Windows] Active Directory는 무엇인가? - 1

[Windows] Active Directory는 무엇인가? - 1 Active Directory란? Microsoft에서 정의 한 Active Directory는 Windows 기반의 Computer 인증과 데이터 베이스를 사용하여 다양한 네트워크 서비스 제공입니다. 위..

ossian.tistory.com

 

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기