Active Directory

🕶Active Directory 서버의 역할

서버 역할	설명
액티브 디렉터리 도메인 서비스(AD DS)	네트워크 상에 존재하는 사용자, 그룹, 컴퓨터와 다른 개체들에 대한 정보를 저장하고 이러한 정보들을 사용자와 컴퓨터가 사용할 수 있도록 하는 기능을 제공 AD 도메인 컨트롤러는 네트워크 사용자와 컴퓨터가 그들에게 허용된 네트워크 자원에 접근할 수 있도록 해준다.
액티브 디렉터리 경량(Lightweight) 디렉터리 서비스(AD LDS))	디렉터리를 이용하는 응용프로그램을 위한 데이터 저장소를 제공 이들 디렉터리-활성(directory-enabled) 응용프로그램은 AD DS를 반드시 요구하지도 않고, 반드시 도메인 컨트롤러상에 배포할 필요가 있는 것은 아니다.
액티브 디렉터리 인증서 서비스(AD CS)	사용자, 클라이언트 컴퓨터와 서버를 위한 디지털 인증서를 발급하고 해지하는 기능 제공 인증 기관, 인증 기관 웹 등록, 온라인 인증서 상태 프로토콜, MSCEP(Microsoft Simple Certificate Enrollment Protocol)
액티브 디렉터리 권한 관리 서비스(AD RMS)	전자 메일 메시지, 문서, 인트라넷 웹 페이지와 같은 조직 정보들을 허가받지 않은 접근으로부터 보호할 수 있도록 보안이 통제된 접근을 제공 Active Directory 권한 관리 서버 및 identity 연합 지원
액티브 디렉토리 연합 서비스(AD FS)	AD DS의 인증과 접근 관리 기능을 보완하여 월드 와이드 웹을 통해 이 기능이 제공될 수 있게 해 준다. 연합 서비스, 연합 서비스 프록시, AD FS웹 에이전트, Claims-aware 에이전트, Windows 토큰 기반 에이전

 

🎪AD

---

데이터베이스 서비스의 일종으로 네트워크 정보의 중앙 저장소이자 리소스의 인증 관리 등을 처리하는 중앙 관리 서비스이다. 자원 확인 및 검색이 쉽다.

장점은 다음과 같다.

• 보안 관리의 간소화
• 추가적인 보안 정보 저장소
• 그룹 정책
• 확장성
  • 글로벌 기업도 사용할 수 있을 정도로 확장성이 좋음
• 관리의 위임(Delegation)
  • 권한을 3자에게 넘김
  • 업무 분담

 

🎭AD DS (Active Directory Domain Service)

---

• 반드시 AD DS가 설치가 된 후에 다른 매니지먼트 서비스를 올릴 수 있다. (AD CS , AD RMS, AD FS ...)
• 대부분 서비스는 AD 에 의존하고 있다.
• AD를 통해 인증과 권한 부여 서비스도 제공을 한다.

 

🎇도메인

---

도메인의 정의는 컴퓨터 계정과 사용자 계정 같은 객체들을 지역적으로 모아 놓은 것이다.

중앙에서 관리를 위한 논리적인 엔티티라고도 한다.

도메인은 윈도우 서버 운영체제가 있어야 한다(Domain Controller)

 

클라이언트들이 도메인에 합류(조인)을 해서 도메인의 리소스를 공유할 수 있다. 이때, 통제는 도메인 컨트롤러가 한다.

가상화 환경에서 vdi(업무용 환경을 가상머신으로 붙임)에서 운영체제를 윈도우를 쓰기 때문에 통제를 위한 AD DS가 중요하다.

클라이언트에서 실행 - sysdm.cpl - 변경 - 도메인을 설정하면 도메인에 합류할 수 있다.

 

🎨조직 구조(Organizational Unit)

---

• 조직구조(OU)는 도메인 내부의 컨테이너(디렉터리 객체)이다.
• 그룹 정책 설정을 부여하거나 관리 권한을 위임할 수 있는 가장 작은 범위 또는 구성 단위이다.
  • 사용자와 컴퓨터,그룹,프린터,다른 OU들을 포함할 수 있다.
• 관리를 효율적으로 하기 위해서 쪼개고 각 통제 정책 실행
• 계층구조를 만들 수 있음 도메인 밑 OU를 (Root Level OU) → 1차 Child OU → 2차 Child OU ..

 

🎄포레스트(Forest)

---

• 포리스트는 상호 신뢰 관계(서로 논리적으로 연결)를 맺고 있는 도메인들의 집합 → 다른 도메인 자원 사용도 가능
• 도메인의 묶음을 트리라고 하고 트리의 묶음 체를 포레스트라고 한다.
• 계층형으로 만들어질 수도 평형으로 만들어 질 수 도 있음 → 가능한 싱글도메인 포레스트 모델로 운영하라고 권고
• 맨 처음 만들어지는 도메인을 포레스트 루트 도메인 → 1차 Child Tree → 2차 Child Tree, Tree의 Root domain도 있음 (그림에서는 cyber.com)
• Global Catalog -회사의 리소스에 대한 정보의 검색을 위해 사용 (포레스트 루트 도메인 DC)
• 다른 도메인의 유저는 해당 도메인 컨트롤러가 알고 있음므로 해당 도메인 컨트롤러를 알려주는 것이 글로벌 카탈로그 서버 역할

포레스트

 

 

👍도메인 컨트롤러(Domain Controller)

---

액티브 디렉터리 정보의 복사본을 가지고 있는 컴퓨터 (피지컬 요소)이다 

AD에서 피지컬 한 요소 2가지 중 하나이기도 하다. (나머지는 1개는 사이트(site)) 

액티브 디렉터리 정보 요청에 대한 응답과 네트워크를 통한 사용자 인증, DNS 통합 기능 등을 수행한다. 

※DNS는 IT 서비스 구현에 있어서 핵심 요소이다. DNS가 제대로 운영이 안되면 정상적으로 운영 관리가 불가하기 때문이다. DC에다가 DNS을 올리는 다중 역할을 하기도 한다. 

또한, 도메인과 포리스트 전체의 멀티마스터 복제(Multi-master replication Model)에 참여한다. 

-> 멀티마스터 복제는 만약을 위한 동기화 과정이다. 복제 DC는 모두 Read, Write가 가능하며 복제 DC는 첫 번째 DC의 카피본을 가지고 있다. 클라우드 환경에서는 멀티마스터 복제 모델을 고려하지 않아도 된다.

 

 

🤷‍♀️로컬과 도메인 인증의 차이

---

로컬 로그인 과정

• 워크그룹 로그인
• AD와 상관이 없음
• 호스트명\계정명
• 네트워크 통신이 필요없다
• 도메인 가입이 되어있을 시 로컬 정책이 아닌 도메인 컨트롤러 정책을 따른다

 

도메인 로그인 과정

• 도메인에 로그인
• 도메인 컨트롤러에 도메인 계정이 있어야함 (조인 작업이 있어야함)
• 도메인에 합류된 어떤컴퓨터에서든 로그인이 가능
• 도메인 로그인시 도메인명\계정명 
• 네트워크 통신 필요

Domain Controller - 관리도구 - Computers 컨테이너, Domain Controller 컨테이너에서 멤버나 DC 항목 확인 가능하다

 

👌MMC(Microsoft Management Console)

---

• 관리자 도구를 개발 하기 위해 제공된 툴
• 여러 기능들을 제공하기 위해 스냅인을 사용한다.
• 사용자가 원하는대로 콘솔을 재구성 해서 쓸 수 있다.

 

😘AD 관련 용어

---

글로벌카탈로그(GC) : 포레스트 내의 모든 도메인에 있는 개체에 대한 일부 정보만을 모아 놓은 데이터베이스이며 포리스트 전역에 걸쳐 존재하는 개체에 대한 빠른 검색을 위해 사용 (DC 복제 시 GC 역할을 수행할 것인지 선택도 한다)

LDAP(Lightweight directory access protocol) : Active weight directory access protocol) : AD의 개체에 대한 질의를 위해 사용되는 프로토콜이며 AD를 사용하는 모든 응용프로그램 및 서비스들의 요청은 LDAP을 이용하여 처리한다. 그래서 AD가 설치된 도메인 컨트롤러(윈도우 환경)를 LDAP 서버(표준 용어)라고 부른다.

LDAP서버는 인증서버, 데이터베이스 역할을 하기도 한다.

스키마 : 속성을 가지는 개체의 집합을 개체 클래스라 하며 AD에 존재하는 개체 클래스와 개체 클래스가 가지는 속성을 정의한 것을 스키마라고 한다.

AD에 스키마도 저장되어 있다.

예를 들어 사용자 계정 정보생일정보를 추가로 저장하고 싶다면 스키마에서 생일이라는 속성을 만들고 사용자 계정 클래스에 생일 속성을 설정한다. ( AD의 골격 )