AD 는 MS 에서 개발한 Windows 환경에서 사용하기 위한 LDAP(LightWeight Directory Access Protocol) 디렉터리 서비스(Directory Service)이다.
디렉터리 서비스라는 용어자체가 조금 생소할 수 있는데 사전적 의미로는 다음과 같다.
디렉터리 서비스 – 네트워크 내에 분산되어 있는 디렉터리를 일원적으로 관리하여, 디렉터리에 수용되어 있는 정보의 검색, 변경, 추가, 삭제 등 디렉터리 사용자나 사용자 프로그램 이 요구하는 서비스를 제공하는 기능 단위
쉽게 말해 네트워크 내에 여러 디렉터리 (사용자에 관한 데이터, 프린터, 서버, 데이터베이스, 그룹, 컴퓨터, 보안 정책등과 같은 Object) 들을 모아 중앙에서 관리할 수 있고, 동시에 여러 사용자들이 디렉터리에 접근하여 사용할 수 있게 서비스를 제공해 주는 것을 말한다. 이런 디렉터리 서비스가 하는 일은 다음과 같다.
- 타 지사에 출장을 가서도 자신의 아이디로 로그인만 하면 타인의 pc가 자신의 pc환경과 마찬가지로 변경이 됩니다.
- pc가 있는 장소와 무관하게 회사의 어디서든지 회사 전체 자원을 편리하게 사용합니다.
01. User Service
사용자 서비스는 사용자에 대한 각종 프로필(계정, 패스워드, 메일주소, 전화번호, 부서, 직급, 등)을 등록하여 주소록 서비스, 계정기반 서비스를 제공합니다.
- Windows 기반 Service와 관련된 계정 기반 로그인을 통합하여 사용하고 주소록을 제공
02. Policy Service
정책 서비스는 Active Directory에 등록된 Windows Server, Client에 대해 각종 정책(GPO)을 적용하는 역할을 합니다.
- Windows Server와 Client간의 방화벽 정책 할당
- 각종 프로그램 자동배포 및 설치
03. Connection Service
연결 서비스는 Windows Service에 따른 복제(Replication) 설정 시 Server와 Server간의 연결을 관리합니다.
- Exchange Server 구축 시 Active Directory와 연결하여 사용자 정보 및 사용자 권한 연동
모든 컴퓨터를 하나로 유기적으로 연결한 것입니다.
AD 역할
- 응용 프로그램의 사용을 위해 - 공통정책(Group Policy: GPO)
- 중앙에 클라이언트에 대한 보안을 강화하기 위해 - 방화벽(firewall)
- 본사 정책과 계정 통합을 위해 - 인증(Login), SSO
AD 논리적 구조
Directory Service
일반적으로 Directory라고 하면 폴더를 생각하는데 여기에서 말하는 Directory는 데이터나 프린터, 컴퓨터, 사용자정보 등 데이터가 저장된 용기라고 보면된다.
Directory Service란 네트워크 서비스의 일종으로 네트워크 자원(사용자계정, 그룹계정, 프린터정보, 컴퓨터정보 등..)에 접근하여 관리를 용이하게 하도록 하는 서비스를 말한다.
Domain
Active Directory 의 가장 기본이 되는 단위입니다. 위 그림에서 서울 본사, 부산 지사 등이 각각 하나의 도메인이라고 보면 됩니다.
도메인은 Active Directory의 가장 작은 논리적 단위입니다. 도메인은 사용자, 그룹, 컴퓨터 등과 같은 객체의 컬렉션을 포함하며, 고유한 보안 경계와 인증을 제공합니다.
- AD를 관리하기 위한 단위이며 조직 구성의 그룹
- OU 및 Domain 내부의 모든 정보(계정, 컴퓨터,프린터 등)를 포함
- 도메인은 고유한 보안 정책을 보유함
- Domain에 대한 정책 할당, 객체관리 등의 목적으로 하나 이상의 Domain Controller(DC)를 가져야 함
Domain Tree
도메인은 트리라고 하는 계층적 구조를 형성할 수 있습니다. 도메인 트리는 동일한 도메인 이름으로 구성된 여러 도메인을 연결하여 계층 구조를 형성합니다. 도메인 트리에서 상위 도메인은 하위 도메인에 대한 관계와 보안 정책을 설정할 수 있습니다.
- Domain에 대한 집합: Root Domain과 하위의 Sub Domain 존재
- 트리 내의 도메인은 같은 스키마(Schema)를 가짐
- 트리 내의 도메인은 신뢰관계를 가짐
Domain Forest
포레스트는 양방향 신뢰관계를 갖는 도메인 트리의 집합입니다. 포레스트는 Active Directory의 가장 큰 논리적 단위이며, 각 포레스트는 고유한 도메인 Name space 가지고 있습니다. 포레스트를 통해 도메인 간의 및 리소스 공유가 가능해집니다.
- 트리들이 모두 양방향 신뢰 관계를 가진 그룹
- 도메인 정보를 검색하기 위해서 Name Space에서 검색이 가능
| 출처
AD 물리적 구조
AD 데이터베이스를 저장하기 위한 서버 및 네트워크 인프라의 배치와 구성을 의미함
01. 도메인 컨트롤러(Domain Controller)
도메인 컨트롤러는 Active Directory 데이터베이스를 호스팅하는 서버입니다. 도메인 컨트롤러는 사용자 인증, 보안 정책 적용, Active Directory 데이터의 저장 및 복제 등의 역할을 수행합니다.
- 도메인 내에 있는 AD 데이터베이스를 가지고 있는 컴퓨터(=마스터 서버)
- 도메인 컨트롤러는 보안 정책, 사용자 인증 데이터, 네트워크 디렉터리 정보를 저장
02. 사이트(Site)
사이트는 네트워크의 물리적인 위치를 나타내는 개념입니다. 사이트는 도메인 컨트롤러 및 클라이언트 간의 트래픽을 최적화하기 위해 사용됩니다. Active Directory는 사이트 정보를 활용하여 인증 및 복제 트래픽을 최적의 경로로 전송합니다.
- 하나의 사이트는 하나의 IP 서브넷으로 물리적 연결을 의미함.
- 사이트는 지리적으로 떨어져 있으며, IP 주소 대가 다르다.
- 하나의 도메인에는 여러 개의 사이트가 연결됨
- AD Domain Controller간 Replication 구성시 사용
- 부모도메인이 ictsec.com이라면 자식 도메인을 생성할 경우 같은 도메인 이더라도 busan.ictsec.com처럼 다른 사이트로 구성이 된다.
03. 사이트 링크(Site Link)
Active Directory의 사이트 링크는 서로 다른 사이트에 위치한 도메인 컨트롤러 간의 통신을 위한 네트워크 인프라를 의미합니다. 이는 LAN, WAN, VPN 등의 기술을 사용하여 구성됩니다.
- Active Directory Site Link는 Domain Controller간의 복제와 분산처리를 가능하게 함
04. 트러스트(Trust)
- 도메인 또는 포리스트 사이에 신뢰할 지 여부에 대한 관계를 나타내는 의미로 사용된다.
- 트러스트 안 도메인 사이에는 상호 양방향 전이 트러스트를 갖는다. (도메인끼리 서로 신뢰)
05. 조직구성 단위(OU)
- 도메인 내부에서 사용되는 일종의 폴더와 같은 개념으로 이해할 수 있다.
- 권한 위임과 그룹 정책을 적용할 수 있는 최소한의 단위이다.
06. 컨테이너(container)
- 단순히 객체를 저장하는 일종의 폴더로 사용자, 그룹, 컴퓨터 등의 객체(계정 정보)를 저장합니다.
- OU와 달리 정책적용이나 보안 설정 등 적용이 제한됩니다.
- AD에서 미리 정의된 위치에 존재하며 기본적으로 생성되어 있는 Default 컨테이너로는 Users, Computers, Builtin이 있습니다.
07. OU vs Container
Active Directory 도메인 내의 개체를 효과적으로 관리하고 구성하려면 컨테이너와 OU의 차이점을 이해하는 것이 중요합니다. 컨테이너는 기본적인 계층 구조를 제공하는 반면 OU는 보안 권한 및 관리 위임에 대한 더 많은 유연성과 제어 기능을 제공합니다. 관리자는 컨테이너와 OU를 모두 활용하여 Active Directory 환경을 효율적으로 관리하고 보호할 수 있습니다.
Container
(컨테이너)
- AD의 개체를 담을 수 있는 바구니/폴더
- 새로 생성 불가능하며, 별다른 기능은 없다.
- 하위 구조 불가
Organization Unit
(조직 구성 단위, 컨테이너의 일종)
- AD의 관리 단위 (도메인, OU)
- 제어 위임, 정책 적용의 최소단위
- 개체를 담을 수 있는 컨테이너 기능 + 하위 구조 가능
- 조직구조 표현 가능(하위 구조)
- 삭제하려면 보호체크 해제
요약하자면,
- 컨테이너 =하위폴더를 더 이상 만들 수 없는 폴더
- OU = 하위폴더를 만들 수 있는 폴더
실제 화면
- 도메인 관련 작업 및 공유 자원에 대한 접근이 가능한 계정이다.
- 도메인 이름\계정명 으로 표현한다. (ICTSEC\Administrator)
- 위와 같은 계정 표현 방식은 NetBios 이름이다.
- NetBios는 MS사에서 사용하는 방식으로 오늘날에는 NetBios 방식보다 UPN방식을 권장한다.(administrator@ictsec.com)
- 로컬 계정명이 도메인 안에 있는 계정에 포함되어있지 않다면 접근할 수 없다.
NetBois란?
* NetBIOS(Network BIOS)
- 일반적으로 TCP/IP 네트워크에서 사용하는 기기에 고유한 "IP 주소"를 부여하면 서로 문제없이 통신할 수 있다.
- TCP/IP 네트워크에서는 IP 주소만 있으면 이름이 부여되지 않아도 서로 통신할 수 있기 때문이다.
- Windows OS의 경우에는 IP 주소보다 컴퓨터 이름(정확하게는 NetBIOS 이름)이 중요한 역할을 하고 있다.
- 일반적으로 Windows PC는 시스템 부팅 후 기본 입출력장치(디스플레이 및 키보드, 직렬/병렬 통신 포트 등의 통신)을 실시하는 BIOS라는 기능이 포함되어 있다. BIOS와 유사한 네트워크용으로 제공되는 것이 NetBIOS라는 시스템 API 구성이다.
* NetBIOS 이름 확인
- 명령 프롬프트를 열어 아래 명령어를 입력하면 자신의 NetBIOS 이름을 확인할 수 있다.
cmd로 NetBIOS 이름 확인
AD 용어
- Object : User,Computer, 공유폴더, 프린터 등 각종 자원을 의미함
- Directory : Object 정보를 저장할 수 있는 정보 저장소
- Directoy Service : Object 생성, 검색, 관리, 사용할 수 있는 서비스
- AD DS 는 윈도우 서버에서 제공하는 Directory Service 를 의미함
어렵쓰 ~~ ;;
https://babogebalja.tistory.com/109
ACTIVE DIRECTORY의 개요 및 용어 정리
Active Directory 개요 일반적인 회사(좀 규모가 있는 회사)의 네트워크 상황을 Windows Server에서 구현하기 위한 기술입니다. 네트워크 상으로 나눠져 있는 여러가지 리소스를 중앙의 관리자가 통합하
babogebalja.tistory.com
djfuqhttps://s3-ap-northeast-1.amazonaws.com/exemdocuments/maxgauge/wh-sqlserver_Active_Directory.pdf
https://babogebalja.tistory.com/114
Active Directory의 개념 및 효율과 필요성(AD의 동작원리 - 표준 이름 명명법)
AD 의 동작원리를 이해하기 위해서는 다음과 같은 4 가지의 개념을 이해하고 있어야 된다. 표준 이름 명명법(Name Standard) 논리적 구조 요소와 Organization 그리고 그 둘의 상관관계 각 컴포넌트의 물
babogebalja.tistory.com
https://peemangit.tistory.com/68
AD (Active Directory) 개념, 용어, 장점, AD DS 정리
AD (Active Directory) 등장 배경 - 조직의 규모가 커질수록 Object의 개수가 많아지기 때문에 관리하는 것이 어려워진다. - 사용자가 공유 자원의 위치(IP 주소)와 해당 서버의 로컬 사용자 계정 정보를
peemangit.tistory.com
Active Directory란? (개념, 용도와 활용, 고려 사항등)
제 블로그에 Active Directory나 그룹 정책에 대한 글들이 많은데, 정작 Active Directory가 무엇인지 설명하는 글은 없었네요. 가능한 쉽게 설명해보려 하는데, 제 생각대로 될지 모르겠습니다. Active Direc
azurekor.com
https://ossian.tistory.com/47?category=757844
[Windows] Active Directory는 무엇인가? - 1
[Windows] Active Directory는 무엇인가? - 1 Active Directory란?Microsoft에서 정의 한 Active Directory는 Windows 기반의 Computer 인증과 데이터 베이스를 사용하여 다양한 네트워크 서비스 제공입니다.위 정의로 Activ
ossian.tistory.com
https://hann-blume.tistory.com/41
Windows Server 2012 - 개체 관리1
[ 사용자 표현방법 ] s1 : SAM ID hann\s1 : 도메인의 NetBIOS s1@hann.cloud : UPN cn=s1,dc=hann,dc=cloud : LDAP DN LDAP (Lightweight Deirectory Access Protocol) - 디렉터리 서비스 표준 프로토콜, TCP/IP 지원(DNS구조) - 조직, 개체
hann-blume.tistory.com
'☁️2024 > Computer Science' 카테고리의 다른 글
| [ Server & OS ] 가상화, 가상화 소프트웨어 (0) | 2024.11.27 |
|---|---|
| [ Network ] 이중화 ,고가용성, 로드밸런싱 (0) | 2024.11.27 |
| [ Server & OS ] SNMP 란? - 모니터링 소프트웨어 (1) | 2024.11.25 |
| [ Network ] QoS ? (0) | 2024.11.18 |
| [ Network ] STP 와 MSTP, MAC Flapping (0) | 2024.11.18 |
