Active Directory (액티브 디렉토리)

Active Directory(액티브 디렉토리)

개념

Windows2000서버 이상의 제품군에서 지원하며, 사용자, 사용자 그룹, 네트워크 데이터 등을 통합 관리하는 기능

액티브 디렉토리는 LDAP를 하는 디렉토리 서비스

Windows NT 서버에서 업그레이드 된 확장 기능을 지원하는 디렉토리 서비스로 진보괸 계층적 디렉토리 서비스를 지만족하며, 인터넷의 DNS상에 구현되고 LDAP를 만족하는 클라이언트는 액티브 디렉토리에 액세스 할 수 있다. 또한 다른 기종으로 구성되어 있는 기업의 네트워크에서 기능을 발휘할 수 있으며, NDS나 NIS+를 포함한 다른 디렉토리 서비스를 포함하므로 기업의 네트워크 운영체계, 전자우편 시스템, 그룹웨어가 각각 가지고 있던 디렉토리의 통합관리가 가능함 

잘정의된 프로토콜과 포맷을 가지고 있어서, 강력하고 융통성있는 편리한AP(application programming interface)를 제공, 중앙 집중화된 자원관리를 가능하게 함. 다양한 서버의 단계별 분류 및 다양한 네이밍 방법, 쿼리, 관리, 등록 및 해석 서비스 제공

---

구조

- 논리적 구조 : 조직 구조(OU)와 트리(Tree), 도메인, 포리스트로 구성

- 물리적 구조 : 도메인 컨트롤러와 사이트로 구성

---

장점

- 네트워크 상으로 나누어져 있는 자원을 중앙의 관리자가 통합하여 관리할 수 있음. 

- 본사 및 자사의 직원들은 더 이상 자신의 PC에 모든 정보를 보관할 필요가 없음. 

- 타 지사에 출장을 가더라도 자신의 아이디로 로그인만 하면 타인의 PC가 자신의 PC 환경과 마찬가지로 변경됨." 

- PC가 있는 장소와 무관하게 회사의 어디서든 회사 전체 자원을 편리하게 사용 가능. 

---

AD 용어 정리

1.Directory Service 

- 분산된 네트워크 관련 자원 정보를 중앙의 저장소에 통합시켜 놓음으로써 더 이상 사용자가 정보를 찾아 헤맬 필요 없도록 도와줌 

2. Active Directory (줄여서 AD) 

- Directory Service를 Windows Server에서 구현한 것으로, 전체 환경을 개념적으로 부르는 용어 

엑티브 디렉토리를 지칭하는 개념은 매우 포괄적, 하나의 컴퓨터에서 단일 네트워크, 많은 컴퓨터 네트워크가 결합된 규모에 이르기 까지 확장이 가능, Active Directory는 이름 공간으로 지칭됨 . 주어진 이름을 확인할수 있는 경계, 구분이 가능한 영역은 모두 하나의 이름공간입니다. 이름 확인이란 각각의 모호한 정보를 하나의 구분가능한 개체의 정보로 변환하는 과정. Windows 파일 시스템은 파일의 이름으로 그파일을 확인할수 있는 이름공간을 형성함 

3. Active Directory Domain Service (줄여서 AD DS) 

- Active Directory Domain Service는 컴퓨터, 사용자, 기타 주변 장치에 대하 정보를 네트워크 상에서 저장하고 이러한 정보들을 관리자가 통합하여 관리하도록 해줌

사용자는 네트워크에 편리하게 자원들을 공유할 수 있으며 공동으로 작업도 가능해짐

Active Directory Domain Service를 사용하기 위해서는 기본적으로 DNS 서버 설치

4. 도메인(Domain) 

- 도메인은 관리를 하기 위한 하나의 큰 단위의 범위를 표현하며, 관리를 위해서 지역적인 범위로 구분될 수 있음

 

액티브 디렉토리를 구성하는 핵식적인 단위이며 OU를 그룹화 한 것을 뜻한다.

도메인은 사용자 계정, 컴퓨터, 프린터, OU 등의 네트워크의 개체를 포함하고 있고, 각 개체의 보안 정책 등으로 구성

도메인의 특징

- 네트워크의 모든 개체는 반드시 도메인에 소속

- 각 도메인은 고유한 보안 정책을 갖음

- 각 도메인에는 하나 이상의 도메인 컨트롤러를 가짐

5. 트리(Tree) & 포리스트(Forest)

트리 (Tree)

- 트리는 도메인의 집합 

도메인의 모임이기도하며 트리는 하나의 도메인으로 구성. 

도메인의 계층적인 구조를 뜻하고 트리내에 있는 도메인은 연속적인 이름 공간을 가져야하며 각 트리의 최상위 도메인을 루트 도메인이라 함. 

트리내의 도메인 컨트롤러는 양방향 전이 트러스트 관계를 설립해 서로 연결

양방향 전이 트러스트 관계를 설립하기 때문에 포리스트 내의 모든 도메인들과 양방향 관게를 형성

트리의 특징

-최상위 도메인을 제외한 모든 도메인은 반드시 부모 도메인의 이름을 포함한다.

-트리 내의 모든 도메인은 서로 양방향 전이 트러스트 관계를 맺는다.

-트리 내의 모든 도메인은 같은 스키마(Schema)를 갖는다. 스키마는 액티브 디렉토리 내에 저장할 수 있는 개체의 모든 형태를 정의한다.

-트리 내의 모든 도메인은 같은 글로벌 카탈로그를 갖는다.

- 두 개 이상의 트리로 Active Directory가 구성되는데, 이를 포리스트라 함

포리스트(Forest)

- 두 개 이상의 트리로 Active Directory가 구성되는데, 이를 포리스트라 함

도메인 트리가 서로 양방향 전이 트러스트 관계를 설립한 그룹

포리스트의 특징

-포리스트는 도메인간의 전이 트러스트 관계를 설립

-포리스트 내의 트리는 공통의 스키마를 갖음

-포리스트 내의 트리는 공통의 글로벌 카탈로그를 갖음

-포리스트 내의 트리는 연속적인 이름공간을 갖지만 포리스트를 이루는 도메인은 연속적인 이름 공간을 형성하지 않음

6. 사이트(Site) 

- 사이트는 지리적으로 떨어져있으며, IP 주소대가 다른 묶음. 

도메인 컨트롤러 사이의 물리적인 구조를 말하며, 하나의 사이트를 하나의 IP 서브넷으로 봄. 사이트간에는 물리적인 연결을 의미하기 때문에 하나의 도메인에는

여러개의 사이트가 연결될 수 있음

7. 트러스트(Trust) 

- 도메인 또는 포리스트 사이에 신뢰할지 여부에 대한 관계를 나타내는 의미. 

네트워크 트래픽을 줄이고 거쳐가는 도메인 컨트롤러의 부하를 줄이기 위해서 사용될 수도 있음 

8. 조직 구성 단위 (Organization Unit) (줄여서 OU) 

- 조직 구성 단위는 한 도메인 안에서 세부적인 단위로 나누는 것

도메인 내의 각 개체를 관리하기 위해 개체를 그룹화 한 것을 말한다. 하나의 도메인 내에는 여러 개의 OU를 가질 수 있으며 또 OU는 자체의 트리 구조를 생성해

자식 OU를 가질 수 있다.

OU의 특징

- OU는 관리의 목적으로 사용된다.

- OU는 사용자 계정, 그룹, 컴퓨터, 프린터 등의 액티브 디렉토리 내의 모든 개체를 포함할 수 있음

- OU는 다른 OU를 포함할 수 있음

- OU를 이용하여 액티브 디렉토리는 계층적으로 구성

9. 도메인 컨트롤러 (Domain Controller) (줄여서 DC) 

-. 로그인, 이용 권한 확인, 새로운 사용자 등록, 암호 변경 그룹 등을 처리하는 기능 서버

도메인 컨트롤러는 도메인 안에 들어있는 액티브 디렉토리 데이터베이스를 가지고 있는 컴퓨터를 뜻. 한 도메인 안에는 여러 개의 도메인 컨트롤러가 있음. 각 도메인 컨트롤러는 시스템 및 보안 정책, 사용자 인증 데이터, 네트워크 디렉토리 정보 등의 모든 정보를 저장

10. 읽기 전용 도메인 컨트롤러 (Read Only Domain Controller) (줄여서 RODC) 

- 도메인 컨트롤러는 별도의 관리자가 수시로 관리해야 함. 

읽기 전용 도메인 컨트롤러는 주 도메인 컨트롤러로 부터 액티브 디렉토리와 관련한 데이터를 전송 받아 저장 후 사용

11. 글로벌 카탈로그 (Global Catalog) (줄여서 GC) 

Active Directory Trust 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장하는 통합 저장소 

12. 컨테이너 (container) 

특성을 가지며, AD의 이름공간 일부 라는 점에서 개체와 비슷하나 무엇인가를 나타내지 않음. 

개체의 그룹에 대한 정보 또는 다른 컨테이너에 대한 정보를 담고 있는 식별정보 

15.Active Directory 스키마 

디렉토리는 특성으로 설명되는 다양한 종류의 실체를 나타내는 개체들을 보유하고, 디렉토리에 저장할 수 이는 개체의 범용성은 스키마에서 정의. 각 개체 클래스에 대해 스키마는 클래스의 인스턴스가 가져야 하는 특성, 가질 수 있는 추가 특성, 그리고 현재 개체 클래스의 상위가 될 수 있는  개체 클래스를 정의

스키마는 디렉토리에 저장되어 있는 개체 클래스 인스턴스의 집합으로 구현, 시작시에 읽을 수 있도록 텍스트 형태로 저장

디렉토리에 스키마를 저장해 두면 많은 이점이 있는데 예를 들어 사용자 응용프로그램은 스키마를 읽어서 사용 가능한 개체와 속성을 알 수 있음