Active Directory(AD, netbios와 dns 기반)

Active Directory(AD, netbios와 dns 기반)

네트워크 환경에서 사용자, 컴퓨터, 그룹, 정책 등의 다양한 객체를 중앙에서 관리하고 조직화하는데 사용

• 일반적인 회사의 네트워크 상황은 Windows Server에서 구현하기 위한 시스템
• 네트워크 상으로 나눠져 있는 여러가지 리소스를 중앙의 관리자가 통합하여 관리함으로써 본사와 지사의 직원들은 자신의 PC에 모든 정보를 보관할 필요가 없어짐.
• 역할
  • 사용자, 그룹, 컴퓨터에 대한 관리
  • 모든 사용자 객체에 대해 보안정책을 적용
  • 공유된 네트워크 자원을 접근, 할당하는 기능
  • 그룹관리 및 각 그룹에 보안설정 기능
  • AD를 사용하는 어플리케이션에 대해 디렉토리 서비스 제공
  • 응용 프로그램의 사용을 위해 - 공통정책(GPO, Group Policy)
  • 중앙에 클라이언트에 대한 보안을 강화하기 위해 - 방화벽(Firewall)
  • 본사 정책과 계정 통합을 위해 - 인증(Login), SSO

---

AD 논리적 구조

• Domain
  • AD의 가장 작은 논리적 단위
  • 사용자, 그룹, 컴퓨터 등과 같은 객체의 컬렉션을 포함하며, 고유한 보안 경계와 인증
  • AD를 관리하기 위한 단위
  • OU 및 Domain 내부의 모든 정보(계정, 컴퓨터, 프린터 등)를 포함
  • 도메인은 고유한 보안 정책을 보유
  • Domain에 대한 정책 할당, 객체 관리 등의 목적으로 하나 이상의 Domain Controller(DC)를 가져야 함
• Domain Tree
  • 동일한 도메인 이름으로 구성된 여러 도메인을 연결하여 계층 구조 형성
  • 상위 도메인은 하위 도메인에 대한 관계와 보안 정책 설정 가능
  • Domain에 대한 집합 : Root Domain과 하위으 Sub Domain 존재
  • 트리 내의 도메인은 같은 스키마(Schema)를 가짐
  • 트리 내의 도메인은 신뢰관계를 가짐
• Domain Forest
  • 양방향 신뢰를 갖는 도메인 트리의 집합
  • AD의 가장 큰 논리적 단위
  • 고유한 도메인 Name space를 가짐
  • 트리들이 모두 양방향 신뢰 관계를 가진 그룹
  • 도메인 정보를 검색하기 위해서 Name Space에서 검색이 가능

• 도메인 하위의 OU와 최소단위인 Object(객체)
  • OU(Organization Unit)
    • 도메인 내의 객체(Object)를 관리하기 위한 그룹
    • 하나의 도메인은, 여러 개의 OU를 가짐
    • 계층 구조로 생성 됨
  • Objects
    • AD를 구성하는 가장 최소의 단위

---

AD 물리적 구조

• 도메인 컨트롤러(Domain Controller)
  • AD DB를 호스팅하는 서버
  • 사용자 인증, 보안 정책 적용, AD 데이터의 저장 및 복제 등
  • 도메인 내에 있는 AD DB를 가지고 있는 컴퓨터(=마스터 서버)
  • 보안 정책, 사용자 인증 데이터, 네트워크 디렉터리 정보를 저장
• 사이트(Site)
  • 네트워크의 물리적인 위치
  • 도메인 컨트롤러 및 클라이언트 간의 트래픽을 최적화하기 위해 사용
  • AD는 사이트 정보를 활용하여 인증 및 복제 트래픽을 최적의 경로로 전송
  • 하나의 사이트는 하나의 IP 서브넷으로 물리적 연결을 의미
  • 하나의 도메인에는 여러 개의 사이트가 연결됨
  • AD Domain Controller 간 Replication 구성시 사용
• 사이트 링크(Site Link)
  • 네트워크 인프라를 의미
  • LAN, WAN, VPN 등의 기술을 사용하여 구성
  • Active Directory Site Link는 Domain Controller 간의 복제와 분산처리를 가능하게 함.

---

AD 주요 서비스

• User Service
  • 사용자 서비스는 사용자에 대한 각종 프로필(계정, 패스워드, 메일주소, 전화번호, 부서, 직급 등)을 등록하여 주소록 서비스, 계정기반 서비스를 제공
    • Windows 기반 Service와 관련된 계정 기반 로그인을 통합하여 사용하고 주소록을 제공
• Policy Service
  • 정책 서비스는 AD에 등록된 Windows Server, Client에 대해 각종 정책(GPO)을 적용하는 역할
    • Windows Server와 Client간의 방화벽 정책 할당
    • 각종 프로그램 자동배포 및 설치
• Connection Service
  • 연결 서비스는 Windows Service에따른 복제(Replication) 설정 시 Server 와 Server 간의 연결을 관리
    • Exchange Server 구축 시 AD와 연결하여 사용자 정보 및 사용자 권한 연동

---

AD 객체 종류

• Domain
  • AD의 가장 기본이 되는 단위
  • 보안 관리 체계를 이루는 최소 단위이자 복제가 일어나는 단위
  • AD가 설치된 하나의 원도우 서버와 동일한 의미
• Tree : 도메인의 집합
• Forest : 두 개 이상의 트리의 집합
• Site
  • 도메인이 논리적인 범주라면, 사이트는 물리적 범주
  • 사이트는 지리적으로 떨어져 있으며 IP 주소대가 다른 묶음 정도
  • 물리적인 의미의 domain, 지리적으로 떨어져있고, IP 주소가 다름
  • DC사이의 물리적인 구조를 말하며, 하나의 사이트를 하나의 IP 서브넷
  • 해당 시스템이 해당 지사 네트워크 내에서 잘 연결되지만 본사와는 소규모 네트워크 연결을 갖는다고 가정할때, 해당 지사를 하나의 사이트로 생성
• 트러스트(Trust)
  • 도메인 또는 포리스트 사이에 신뢰할지 여부에 대한 관계를 나타내는 의미
• 조직 구성 단위(OU,Organizational Unit)
  • 도메인 내에서 특정 관리 목적으로 객체를 그룹화하는 데 사용되는 단위
  • 도메인 내부의 디렉터리 객체
  • 그룹 정책 설정을 부여하거나 관리 권한을 위임할 수 있는 가장 작은 범위 또는 구성 단위
  • 사용자와 컴퓨터, 그룹, 프린터, 다른 조직단위들을 포함할 수 있음
  • 관리권한의 위임, 그룹정책 적용의 최소 단위
  • 도메인 내부에서 사용되는 일종의 폴더
  • 용도
    • 권한의 위임을 통해 도메인 안에서 관리상의 범위를 생성
    • 논리적인 구조를 표현하기 위한 도메인 모델 내부에 컨테이너 생성
    • 그룹 정책 시행
• 도메인 컨트롤러(Domain Controller, DC)
  • 로그인, 이용 권한 확인, 새로운 사용자 등록, 암호 변경 그룹 등을 처리하는 기능을 하는 서버 컴퓨터, 도메인에 하나 이상의 DC를 설치
  • 액티브 디렉터리 정보의 복사본을 가지고 있는 컴퓨터
  • 액티브 디렉터리 정보 요청에 대한 응답
  • 네트워크를 통한 사용자 인증
  • DNS 통합
  • 로그온, 이용 권한 확인, 새로운 사용자 등록, 암호 변경 등의 기능을 처리하는 서버 PC
• 글로벌 카탈로그(Global Catalog, GC)
  • 트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장되는 통합 저장소
  • 즉, 모든 정보가 저장되어 있는 저장소
• 읽기 전용 도메인 컨트롤러(Read Only Domain Controller, RODC)
  • 주 도메인 컨트롤러로부터 데이터를 전송 받아서 저장한 후에 사용하지만 스스로 데이터를 추가하거나 변경하지 않음.
  • 소규모로 운영되어서 별도의 서버 관리자를 두기 어려운 경우에 유용
• LDAP(Lightweight Directory Access Protocol)
  • 디렉터리 서비스 표준 프로토콜, TCP/IP 지원(DNS 구조)
  • 조직, 개체, 네트워크 상의 파일/장치 등의 검색 지원
  • 네트워크상의 디렉터리는 자원이 있는 위치를 알려준다.
• 컨테이너(Container)
  • AD의 개체를 담을 수 있는 바구니/ 폴더
  • 새로 생성 불가능하며, 별다른 기능은 없다
  • 하위 구조 불가
• WORKGROUP와 DOMAIN의 차이

	WORKGROUP	DOMAIN
Directory Database 위치	각각의 컴퓨터 내	하나 이상의 마스터 서버(DC) 내
장점	작은 규모의 네트워크 환경이라면 전체 서버를 관리할 강력한 시스템이 필요 없고 따로 관리자가 없이 각각 자신들의 시스템을 스스로 관리하는 곳에 유용	회사 내 모든 컴퓨터 및 사용자 계정을 서버마다 생성하지 않고 하나의 마스터 서버(DC)에서만 생성하여 중앙 관리할 수 있다.
단점	- 한 사용자가 자원을 가진 서버마다 별도의 사용자 계정을 가지고 있어야 한다. - 하나의 사용자를 위해 서버마다 계정을 만들어야 함. - 중앙집중적인 관리의 어려움	- 전체 Directory Database를 관리할 강력한 마스터 서버가 있다. - 굳이 중앙관리를 할 필요가 없을 정도의 소규모 네트워크 환경일 경우 오히려 불편할 수 있다.

---

그룹 정책 관리 - GPO(Group Policy Object)

• 관리자들이 컴퓨터 및 사용자 사용 권한을 중앙에서 한번에 제어할 수 있도록 관리 작업을 단순화하는 규칙의 집합
• 컴퓨터 및 사용자 정책들을 하나하나씩 적용하는 것보다 OU를 통해 GPO를 이용해서 하나로 묶어서 한번에 컨트롤 하는 것
• 사용자들에게 내리는 정책 지표
• 그룹핑한 서로 다른 객체들한데 정책을 주기 위해 쓰는 것이고, 컨테이너나 OU 단위로 정책을 줄 수 있다.
• 정책 업데이트 명령어 : gpupdate/force
  • 정책이 갱신될 수 있다.
• netclient라는 솔루션을 통해 일괄배포를 할 수 있다.
• 정책이 변경할 때는 신중히 해야 한다.
• 사용자 또는 컴퓨터는 다수의 GPO 영역 안에 있기 때문에 정책이 충돌 될 가능성이 있다.
• 이때 충돌되는 설정은 우선 순위대로 적용 
• 적용된 설정 사항과 모순되는 GPO 설정에서 우선순위가 높은 것으로 리포트 작성
• 우선 순위는 연결된 그룹 정책 개체의 링크 순서로 우선순위 측정

---

AD의 기본 기능

• 확장 가능 Directory(Extensible Directory)
  • 파티션 개념 도입 => 수십 ~ 수십만 개 수준의 Object 관리 가능
• 스키마(Schema) 사용
  • Directory Service를 하기 위해서는 각 Object들을 구분하기 위해 사용
• DNS 사용
  • DNS를 이용하여 Internet에 있는 Source나 Object를 찾는다.
• LDAP 지원
  • AD를 검색하고 Directory와 응용 프로그램 간의 정보 교환을 할 때 LDAP 프로토콜 사용
• 한곳에서 관리(Single Point of Administration)
  
  • 네트워크 상의 Object들을 추가, 변경, 삭제하는 작업을 의미, AD는 이런 작업들을 한 컴퓨터(DC)에서 액세스하여 관리할 수 있도록 함.

---

AD의 추가 기능

• 향상된 질의(Enhanced Queries)
  • 전체 Directory에 대한 Index를 만들어 둠
• 결함 허용(Fault Tolerance)
  • AD가 복제 되기 때문에 어느 한쪽에 장애가 발생하더라도 복제된 정보를 이용해 계속 디렉터리 서비스를 할 수 있다.
• 보안 통제(Security Controls)
  • 사용자나 관리자가 AD를 사용하고 관리하는 것은 보안 정책(Security Policy)으로 규정. AD는 ACL(Access Control List)가 있어서 권한이 부여된 사용자만이 해당 Object를 읽거나 쓸 수 있도록 통제

---

AD 설정하기(실습) 참고 블로그

https://hec-ker.tistory.com/316

Active Directory (1) AD는 무엇일까