What is Active Directory(AD)?
윈도우 서버에서 사용자, 컴퓨터 등을 포함한 여러 IT자원을 쉽게 관리할 수 있도록 하는 윈도우서버기능입니다.
AD는 디렉터리라고 하는 저장소에 AD에 대한 정보를 저장하고 있고 관리자가 사용자, 컴퓨터와 같은 개체에 대한 정보에 액세스하여 관리하고 로그인 및 리소스인증을 진행합니다.
- Windows네트워크의 기본적인 인증과 보안의 기반.
- Windows2000에서 표준기능으로 구현됨.
- Active Directory 데이터베이스 파일위치는 C : \ Windows \ NTDS 가 기본설정입니다.
* 파일 위치는 Active Directory설치 중에 쉽게 변경할 수 있고 운영체제파티션(보통 C:)이 아닌 다른 하드디스크파티션에 저장하는게 좋습니다.
이러한 데이터베이스는 서버관리자에서 여러콘솔을 통해 사용자 정보나 정책등을 관리할 수 있습니다.
참고. Active Directory Domain Services 개요 | Microsoft Learn
https://learn.microsoft.com/ko-kr/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview
Active Directory의 필요성
관리하려는 사용자나 컴퓨터가 많아질수록 중앙에서 집중화된 관리가 필요합니다.
AD의 역할
- 사용자, 그룹, 컴퓨터에 대한 관리
- 모든 사용자 객체에 대해 보안정책을 적용
- 공유된 네트워크 자원을 접근, 할당 하는 기능
- 그룹관리 및 각 그룹에 보안설정 기능
- AD를 사용하는 어플리케이션에 대해 디렉토리 서비스 제공
AD도입시 고려사항
도메인가입
도메인에 가입하기 전 사용자의 계정은 로컬 환경에서만 사용할 수 있는 계정이고 컴퓨터는 로컬그룹인 WORKGROUP상태이다. AD를 통해 인증과 권한관리를 하고자 한다면 그 인증과 권한부여의 대상이 되는 컴퓨터들이 모두 AD도메인에 가입되어있어야 한다.
컴퓨터가 도메인에 가입하게 되면 사용자의 프로필이 바뀐다
(도메인가입아이디로 된 폴더가 C드라이브 Users 폴더에 새로 생성되고 기존의 사용환경은 기존아이디로 생성된 폴더에서 확인 가능하다).
즉, 사용자의 컴퓨터사용환경(바탕화면, 폴더, 문서 등)이 바뀌게 되는데 이를 방지하기 위해 기존 사용자의 프로필을 새 프로필로 마이그레이션시켜야 한다.
또한 회사에서 별도로 DNS를 운영하고 있었다면 AD DNS로 마이그레이션시켜야 하고 AD에 가입된 모든 컴퓨터들은 AD DNS를 바라보아야 한다.
admin계정 비활성화
관리자 기본 계정은 "admin"이다. 보안상의 이유로 시스템관리계정은 일반적이고 유추하기 쉬운 이름을 사용하지 않는 것이 좋다.
AD의 구조
AD는 계층구조이다. 포리스트안에 도메인이 있고 도메인안에 OU가 있다.
참고. AD논리모델
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/understanding-the-active-directory-logical-model#active-directory-domain
참고. 구조 및 스토리지 기술
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc759186(v=ws.10)
포리스트(최상위 컨테이너) ⊃ 트리 ⊃ 도메인 ⊃ OU(조직구성단위)
포리스트(Forests) = 보안경계
- 하나 이상의 도메인으로 구성되며 포리스트로 묶어서 관리할 수 있다.
- 동일한 포리스트내의 도메인은 양방향 전이 트러스트관계로 자동 연결되며
공통 논리 구조, 디렉터리 스키마(클래스 및 특성 정의), 디렉터리 구성(사이트 및 복제 정보) 및 글로벌 카탈로그(포리스트 전체 검색 기능)를 공유한다.
포리스트=보안경계
포리스트내의 모든 도메인은 같은 보안정책을 공유하게 된다. 공유된 보안정책은 관리자가 한 곳에서 설정하면
모든 도메인에 동일하게 적용된다. 이를 통해 일관성 있는 보안관리가 가능하다.
또한 자동으로 각 도메인간의신뢰관계를 설정하여 도메인간의 인증 및 권한관리를 할 수 있다.
이러한 신뢰관계는 사용자가 한 도메인에서 다른 도메인의 리소스에 접근할 때 자동으로 인증되고 권한이 부여되도록 한다.
또한 포리스트는 글로벌 카탈로그를 공유하는데 모든 도메인에 대한 전역정보를 포함하고 있으며 포리스트내에서의 검색기능을 제공한다.
마지막으로 포리스트는 각 도메인의 관리자가 독립적으로 관리가 가능하면서 동시에 중앙집중적으로 관리할 수 있는 구조를 가지고 있다.
*포리스트 기능 수준 : 기능 수준에 따라 사용 가능한 AD DS(Active Directory Domain Services) 도메인 또는 포리스트 기능이 결정된다. 또한 기능 수준에 따라 도메인 또는 포리스트의 도메인 컨트롤러에서 실행할 수 있는 Windows Server 운영 체제가 결정된다. 그러나 기능 수준은 도메인이나 포리스트에 조인된 워크스테이션 및 구성원 서버에서 실행할 수 있는 운영 체제에는 영향을 주지 않는다.
AD DS를 배포할 때 도메인 및 포리스트 기능 수준을 현재 환경에서 지원할 수 있는 가장 높은 값으로 설정해야한다. 그러면 최대한 많은 AD DS 기능을 사용할 수 있다. 새 포리스트를 배포할 때 포리스트 기능 수준을 설정한 다음, 도메인 기능 수준을 설정하라는 메시지가 표시된다. 도메인 기능 수준을 포리스트 기능 수준보다 높은 값으로 설정할 수 있지만, 도메인 기능 수준을 포리스트 기능 수준보다 낮은 값으로 설정할 수는 없다.
트리
- 하나 이상의 도메인(Domain)으로 구성된 계층 구조. 트리는 루트 도메인(root domain)과 그 하위 도메인들로 이루어져 있으며, 루트 도메인과 하위 도메인은 동일한 DNS 네임 스페이스를 공유한다.
(간단하게 한 개 이상의 도메인으로 이루어져 있다)
(예를 들어, 루트도메인이 NAVER.COM이면 하위 도메인은 MAIL.NAVER.COM)
도메인(Domain) = 관리경계
- 컴퓨터, 사용자, 그룹 등의 계정 정보와 정책 정보를 저장하는 논리적인 단위이다.
도메인 내에서는 계정 정보를 중앙 집중적으로 관리할 수 있으며, 사용자가 로그인할 때 도메인 계정을 사용하여 인증할 수 있다.
AD에서는 OU와 컨테이너라는 두 가지 객체를 사용하여 객체를 조직화합니다.
조직구성단위(OU)
- AD내에서 객체를 조직화하고 관리하는데 사용되는 컨테이너입니다.
- OU는 사용자, 그룹, 컴퓨터 등의 객체(계정 정보)를 저장하는 컨테이너입니다.
- OU는 도메인의 어느 위치에서나 생성이 가능하며 여러 OU를 만들어 조직구조를 반영할 수 있습니다.
* ex. 회사의 경우 OU에 법인, 부서 등을 할당하여 관리하며 조직구조를 나타냅니다.
- 도메인 내에서 그룹 정책 적용 또는 권한 위임이 가능합니다.
컨테이너(Container)
- 단순히 객체를 저장하는 일종의 폴더로 사용자, 그룹, 컴퓨터 등의 객체(계정 정보)를 저장합니다.
- OU와 달리 정책적용이나 보안 설정 등 적용이 제한됩니다.
- AD에서 미리 정의된 위치에 존재하며 기본적으로 생성되어 있는 Default 컨테이너로는 Users, Computers, Builtin이 있습니다.
AD용어
SITE
물리적인 위치에 기반하여 동일한 네트워크 영역 내에 있는 네트워크 리소스들을 논리적으로 그룹화하는 개념.
일반적으로 지리적으로 분리된 지역에 있는 네트워크를 관리하기 위해 사용된다.
SITE를 설정하면 동일한 지역에 위치한 클라이언트와 서버 간의 네트워크 트래픽을 로컬 네트워크에서 처리할 수 있으므로 네트워크 효율성과 안정성이 향상된다.
SITE는 Active Directory Sites and Services 콘솔에서 구성할 수 있으며, SITE 구성을 통해 사용자 및 컴퓨터의 로그인 위치, 그룹 정책 적용, 자원 위치 등을 제어할 수 있다. 또한 복제를 위한 사이트 링크 설정 등의 구성을 가능하게 한다.
SITE LINK
SITE LINK는 Active Directory(AD)에서 SITE간의 통신을 가능하게 하는 개념.
SITE LINK를 설정하면 서로 다른 SITE에 있는 컴퓨터 및 사용자와의 통신이 가능해진다.
SITE LINK는 SITE간의 전송 품질 및 대역폭 등을 구성할 수 있다.
이를 통해 데이터의 전송 효율성과 안정성을 향상시킬 수 있다.
SITE LINK는 Active Directory Sites and Services 콘솔에서 구성할 수 있으며, SITE와 SITE LINK를 함께 구성함으로써 Active Directory 데이터베이스의 복제를 위한 경로를 설정할 수 있다.
SITE LINK는 통상적으로 WAN 또는 VPN을 통한 SITE 간 통신에 사용된다.
SRV레코드
DNS에서 서비스의 위치(호스트네임과 포트번호)를 저장하기 위해서 사용하는 레코드
이를 통해 사용자와 DNS서버가 DC를 찾을 수 있다.
DN(Distinguished Name)
개체를 의미하는 이름으로 정확히 객체가 저장된 위치를 나타내며 도메인, OU, CN 등의 요소로 구성됩니다.
ex. "cn=John Doe,ou=Sales,dc=example,dc=com"
☞ "example.com"도메인 내의 "Sales"OU에 속한 "John Doe"라는 Common Name을 가진 객체를 나타냅니다.
DN은 객체를 식별하고 검색하기 위한 요소로 이를 통해 데이터베이스내에서 객체를 식별할 수 있습니다.
* 객체의 위치를 정확하게 참조하여 객체의 속성 및 보안권한 등을 관리할 수 있습니다
- 이름 : cn
- 사용자 로그인 이름 : UserPrincipalName
- Windows 2000 이전 버전 사용자 로그온 이름 : SamAccountName
- 성 : sn
- 이름 : givenname
- 이니셜 : initials
- 표시이름 : displayname
객체(object)
AD에서 관리되는 모든 요소를 나타내며 AD의 모든 정보와 설정은 객체의 형태로 저장됩니다.
ex. 사용자, 컴퓨터, 그룹, 프린터, OU, 컨테이너 등
속성(Attribute)
객체가 나타내는 자원에 대한 정보로 객체를 나타내는 필수적인 정보를 제공합니다.
6-1 디렉터리 서비스
컴퓨터 네트워크에서 사용자, 컴퓨터, 그룹, 애플리케이션 등과 같은 리소스에 대한 중앙 집중식 관리를 제공하는 서비스.
6-2 AD 도메인서비스
Microsoft Windows 운영 체제에서 사용되는 디렉터리 서비스의 일종.
컴퓨터, 사용자, 자원 등의 객체를 중앙에서 관리할 수 있게 해준다.
6-6 트러스트
도메인 또는 포리스트 사이에 신뢰할지 여부를 나타내는 의미로 사용된다.
우선, 같은 포리스트 안에서 도메인 사이에는 '양방향 전이 트러스트'를 갖는다.
스키마
- 포리스트당 하나의 스키마가 있으며 스키마사본은 포리스트내의 모든 DC에 존재
- 저장된 데이터 또는 개체에 대한 정보가 스키마에 저장된다.
6-8 도메인 컨트롤러(DC)
도메인을 관리하는 서버.
로그인, 이용권한 확인, 새로운 사용자등록, 암호변경그룹 등을 처리하는 기능을 하는 서버 컴퓨터.
도메인에 하나이상의 DC를 설치해야한다.
6-9 읽기전용도메인 컨트롤러(RODC)
ADDS데이터베이스의 읽기전용 파티션이 있는 DC.
RODC를 사용하는 이유로는 1데이터센터에 대한 물리적 보안이 충분치 않은 경우, 2네트워크연결을 설정하기 위한 대역폭이 충분치 않은 경우, 3사용자가 적은 경우
주 도메인 컨트롤러로부터 AD와 관련된 데이터를 전송받아서 저장한 후 사용하지만 스스로 데이터를 추가하거나 변경하지 않는다. 주로 본사와 멀리 떨어진 지사에서 도메인 컨트롤러가 필요한데 별도의 관리자를 두기 어려울 때 주 도메인 컨트롤러의 부하를 분담하기 위해 주로 사용한다.
6-10 글로벌 카탈로그(GC)
- 네트워크(사이트)당 GC가 한개씩 있어야함.
- 포리스트내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장하는 통합저장소(데이터베이스)이다.
- GC서버의 구성 : 2008부터는 모든 DC가 GC가 된다.
6-11 그룹
ou는 정책을 관리하기 위해 묶은 것이고 그룹은 공유 및 권한부여를 위해 묶은 것
그룹종류
- 보안 그룹 : 접근 권한 및 사용자 권한 부여 목적으로 사용 (보안그룹은 배포그룹을 포함)
- 배포 그룹 : 보안관련된 사항을 쓸 수 없음.
그룹범위(가질 수 있는 구성원의 범위에 차이가 있다)
- 글로벌 그룹 : 해당 도메인 내의 사용자 및 컴퓨터(사람을 묶기 위한 그룹)
- 도메인 로컬 그룹 : 포리스트 내 모든 사용자 및 컴퓨터(권한을 묶기 위한 그룹)
- 유니버셜 그룹 : 포리스트 내 모든 사용자 및 컴퓨터
참고. https://netdream.tistory.com/6
윈도우 서버 2012-6. 그룹1 -범위에 따른 그룹
그룹은 비슷한 컴퓨터, 사용자, 다른 그룹들의 논리적인 집합이라고 생각하면 된다. 그렇다면 앞서 배운 OU와 무엇이 다른가하는 생각이 든다. 정확히는 모르겠지만 가장 큰 차이는 용도 인 것
netdream.tistory.com
참고. https://haker.tistory.com/59
1. 윈도우서버, IP, DNS, 서브넷마스크, 게이트웨이
1. 윈도우 서버1) 서버 운영체제의 이해- 운영체제① 하드웨어와 소프트웨어 사이에서 둘을 이어주는 매개체② 하드웨어와 소프트웨어를 관리하는 필수 시스템 소프트웨어 - 도스와 윈도우① DOS
haker.tistory.com
'Windows > Active Directory' 카테고리의 다른 글
| [Active Directory] 오류정리 (0) | 2023.04.12 |
|---|---|
| [Active Directory] 도메인컨트롤러간 복사하는 정보 (0) | 2023.01.26 |
| [Active Directory] FSMO (0) | 2022.12.20 |
| [Active Directory] 인증서 서비스 서버 역할 설치, Exchange 인증서 설정 (0) | 2020.01.12 |
| [Active Directory] DSRM (0) | 2019.12.30 |
