ACTIVE DIRECTORY의 개요 및 용어 정리

Active Directory 개요

 

• 일반적인 회사(좀 규모가 있는 회사)의 네트워크 상황을 Windows Server에서 구현하기 위한 기술입니다.
• 네트워크 상으로 나눠져 있는 여러가지 리소스를 중앙의 관리자가 통합하여 관리함으로써 본사와 지사의 직원들을 자신의 pc에 모든 정보를 보관할 필요가 없어졌습니다.
• 타 지사에 출장을 가서도 자신의 아이디로 로그인만 하면 타인의 pc가 자신의 pc환경과 마찬가지로 변경이 됩니다.
• pc가 있는 장소와 무관하게 회사의 어디서든지 회사 전체 자원을 편리하게 사용합니다.

 

모든 컴퓨터를 하나로 유기적으로 연결한 것입니다.

---

Directory Service

 

일반적으로 Directory라고 하면 폴더를 생각하는데 여기에서 말하는 Directory는 데이터나 프린터, 컴퓨터, 사용자정보 등 데이터가 저장된 용기라고 보면된다. 

Directory Service란 네트워크 서비스의 일종으로 네트워크 자원(사용자계정, 그룹계정, 프린터정보, 컴퓨터정보 등..)에 접근하여 관리를 용이하게 하도록 하는 서비스를 말합니다. 

---

Active Directory(AD)

 

ActiveDirectory란 MS Windows Server에서 제공하는 Directory Service를 말한다.

 

AD에서는 사용자, 컴퓨터등 자원들을 개별적인 개체로 표현하고 관리를 하는데 있어서 사용자나 컴퓨터등의 개체가 얼마 되지 않는다면 AD를 사용할 필요가 없겠지만 이러한 개체들이 많아지고 모든 개체를 관리하기를 원한다면 중앙에서 관리하는 서비스가 필요하기 때문에 AD를 사용한다.

 

AD 역할

AD의 특징이 중앙집중화된 관리라고 했는데 AD에서 관리하는 것들의 목록은 다음과 같다

- 사용자, 그룹, 컴퓨터에 대한 관리

- 모든 사용자 객체에 대해 보안정책을 적용

- 공유된 네트워크 자원을 접근, 할당 하는 기능

- 그룹관리 및 각 그룹에 보안설정 기능

- AD를 사용하는 어플리케이션에 대해 디렉토리 서비스 제공

---

Active Directory Domain Service (AD DS)

컴퓨터, 사용자, 기타 주변 장치에 대한 정보를 네트워크 상에서 저장하고 이러한 정보들을 관리자가 통합하여 관리하도록 해줍니다. 위 그림에서 AD DS는 각각 사이트에 본사 서버, 부산지사 서버, 일본 지사 서버에 깔리게 됩니다.

 

AD DS와 다른 서버 역할의 통합

 

---

Domain

Active Directory 의 가장 기본이 되는 단위입니다. 위 그림에서 서울 본사, 부산 지사 등이 각각 하나의 도메인이라고 보면 됩니다.

---

트리(Tree)와 포리스트(Forest)

트리는 도메인의 집합, 포리스트는 두 개 이상의 트리로 구성됩니다.

즉 도메인 < 트리 <= 포트리스의 관계입니다.

 

그림 2

 

---

사이트

도메인이 논리적인 범주라면, 사이트는 물리적 범주, 사이트는 지리적으로 떨어져 있으며 ip 주소대가 다른 묶음 정도로 보면 됩니다.

---

트러스트

도메인 또는 포리스트 사이에 신뢰할지 여부에 대한 관계를 나타내는 의미로 사용됩니다.

---

조직 구성 단위(OU)

한 도메인 안에서 세부적인 단위로 나누는 것

조직단위(OU)란?

• 도메인 내부의 디렉터리 객체
• 그룹 정책 설정을 부여하거나 관리 권한을 위임할 수 있는 가장 작은 범위 또는 구성 단위
• 사용자와 컴퓨터, 그룹, 프린터, 다른 조직단위들을 포함할 수 있음

조직 단위의 용도

• 권한의 위임을 통해 도메인 안에서 관리상의 범위를 생성
• 논리적인 구조를 표현하기 위한 도메인 모델 내부에 컨테이너를 생성
• 그룹 정책 시행

 

---

도메인 컨트롤러(Domain Controller, DC)

로그인, 이용 권한 확인, 새로운 사용자 등록, 암호 변경 그룹 등을 처리하는 기능을 하는 서버 컴퓨터, 도메인에 하나 이상의 DC를 설치(그림 1에서 각 본사 서버, 부산 서버 등에서 DC가 설치 됩니다.)

 

• 액티브 디렉터리 정보의 복사본을 가지고 있는 컴퓨터

• 액티브 디렉터리 정보 요청에 대한 응답

• 네트워크를 통한 사용자 인증

• DNS 통합

 

---

읽기 전용 도메인 컨트롤러(Read Only Domain Controller, RODC)

• 주 도메인 컨트롤러로 부터 데이터를 전송 받아서 저장한 후에 사용하지만 스스로 데이터를 추가하거나 변경하지 않습니다.
• 소규모로 운영되어서 별도의 서버 관리자를 두기가 어려운 경우 유용합니다.
• 도메인 컨트롤러는 관리자가 있어야 하지만 여기서는 없어도 됩니다. 
• 그림 1에 보면 관리자가 없다 이것이 RODC입니다.

---

글로벌 카탈로그(Global Catalog, GC)

트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장되는 통합 저장소

 

즉 모든 정보가 저장되어 있는 저장소입니다.