Active Directory의 개념 및 효율과 필요성(AD 설계)

AD 를 구축하기에 앞서 먼저 AD 를 설계해야 한다. AD 설계는 6 가지의 단계가 있다. 1 단계부 터 차근차근 알아보도록 하자.

 

요구분석

 

안정적인 AD 구축 및 운영을 위한 가장 중요한 단계는 요구분석 단계이다. 요구조건을 최대한 도출하고 분석을 통하여 올바른 설계의 방향을 결정하는 것은 아무리 강조해도 지나치지 않다. AD 설계에 정답이 있는 것은 아니다. AD 를 구축하고자 하는 회사의 요구사항이 있고 AD 에서 수용할 범위가 결정되었다면 설계된 내용을 토대로 AD 를 구축하였을 때 요건이 모두 해결될 수 있다면 최적의 설계를 한 것이라고 할 수 있다.

 

도메인 구조 결정

 

요구분석을 끝내면 먼저 도메인구조를 결정할 필요가 있다. 몇 개의 도메인으로 AD 를 구축할 것인지를 고려해야 한다. AD 는 Windows NT4.0 의 도메인 구조와는 분명히 달라질 수 있다.

 

NT4.0 의 도메인은 계층적인 관리구조를 지원하지 못하였다. 그런 이유로 지사, 본사, 부서별 관리 등을 회사가 원하는 대로 지원하기 위해서 복수도메인 구조가 불가피했던 경우가 생겼다. 하지만 AD 는 조직단위(OU)라는 관리구조가 도입됨에 따라 계층적인 관리가 가능하고 Windows NT4.0 이라면 복수도메인으로 구축되어야 할 경우라도, 대부분의 경우 AD 는 단일 도메인으로써 지원할 수 있는 토대가 마련되었다. MS 는 도메인 모델을 결정할 때 먼저 ‘단일 도 메인 모델’을 검토하고, 회사의 요구사항이 단일 도메인 모델로써 해결될 수 없는 상황일 경우에 만 복수 도메인 모델을 도입할 것을 권장하고 있다. 컴퓨터가 100 대 이상의 중소규모 환경보다 더 큰 규모의 회사 환경이라도 반드시 복수 도메인으로 가야 할 이유는 많지 않다고 판단된다. 복수 도메인이 필요한 경우는 조직간에 보안상의 이유로 계정/암호정책 등이 차별적인 설정을 가져야 하는 경우, 회사의 조직간에 IT 관리에 대한 책임과 역할이 명확하게 구분되어야 하는 경 우 등이 일반적인 이유이다.

 

도메인 이름 결정

 

도메인의 이름은 회사를 대표할 수 있는 이름을 선택하는 것이 좋다. 예를 들어 ‘엑셈’은 exem.com이라는 도메인을 가지고 있다. 이 이름을 그대로 AD 도메인 이름으로 사용하기로 한다. 만일 회사가 인터넷에 등록한 도메인 이름이 없는 상태라면 먼저 회사를 대표할 수 있는 이름 하나를 등록할 것을 권장한다. 당장 인터넷에 연결 자체는 할 필요가 없더라도 도메인 이름을 확보 해 두는 것이 안정적인 도메인 구축을 할 수 있는 방법이다. 이 도메인 이름은 두 가지 용도로 사용된다. 하나는 인터넷상의 다수의 클라이언트들이 회사의 웹 서버, 메일 서버 등의 자원에 접근 하기 위한 용도이고, 둘째는 회사 내부의 클라이언트가 도메인을 식별하고 디렉터리 서비스를 받기 위한 용도이다. 이들은 사용용도가 다르지만 동일한 이름체계를 사용하고 있기에 하나의 DNS 서버를 통해서 얼마든지 서비스될 수 있지만, 보안을 고려한 좋은 모델은 이 두 가지 용도 별로 DNS 서버를 분리시키는 방법이다. 내부 DNS 서버와 외부 DNS 서버로 구분하는 것을 의미한다.

 

관리구조 결정(OU)

 

AD 구조에서 OU 는 큰 의미를 가진다. 관리권한의 위임, 그룹정책 적용의 최소단위가 OU 이기 때문에 IT 관리 요구사항을 그대로 반영하여 OU 구조를 만들어 낼 필요가 있다. OU 의 가장 큰 용도는 그룹정책구성을 위한 최소단위, 관리권한 위임의 최소단위로 사용되어 IT 관리자가 개체들을 보다 쉽고 유연하게 관리하도록 한다. 그렇지만 OU 구조가 조직구조와 같을 필요는 없다. OU 라는 단위는 사용자들에게는 투명하다. 사용자들은 자신이 어떤 OU에 속해 있는지 몰라도 되고, 알 필요도 없다는 것이다. 방법은 2 가지가 있다. 첫 번째 방법은 부서별로 OU를 구분하여 조직도 형태의 OU 를 만드는 것이고, 두 번째 방법은 하나의 OU 에 개체를 모두 담고 Filtering 을 통해서 그룹별로 지정된 프로그램을 배포하는 방법이다.

 

 

 

 

명명규칙

 

AD 인프라와 관련된 서버/PC/로그온 이름 등 다양한 개체에 대한 명명규칙을 정의한다

 

 

디렉터리 구성 테이블 작성

 

구현을 위해서 필요한 디렉터리의 내용들을 테이블로 작성해 보았다. 이건 하나의 예시로 작성 해 본 것이다. OU 구조 중 기능적 측면을 고려한 계층적 OU 구조 일 경우의 예이다