(1) Active Directory 설정하기

Active Directory (AD) 소개

1. AD의 역할, 기능, 역사

액티브 디렉터리(AD; Active Directory)는 업계 표준인 X.500과 LDAP(Lightweight Directory Access Protocol)를 이용하여 디렉터리안의 모든 객체를 손쉽게 검색하고 중앙집중적으로 관리할 수 있게 한다.

▷ 객체(Object) 사용자, 그룹, 컴퓨터, 서버, 도메인, 사이트 등을 의미하며 이러한 객체들을 AD내에서 검색하기 위해 객체의 이름에 기반한다.

▷ 스키마(Schema) 모든 객체 유형과 그 속성들의 정의. 객체 클래스와 속성의 2가지 형태 정의가 저장된다. 스키마는 사용자의 어플리케이션으로 검색될 수 있으며 사용자 정의 객체 클래스와 속성을 사용하도록 허락되도록 변경될 수 있다. 권한 없이 변경되는 것을 막기위해 임의 접근 제어 리스트(DACL; Discretionary Access Control List)를 사용하여 각 객체의 보안을 유지한다. 이러한 DACL은 오직 권한이 있는 사용자만이 스키마에 접근할 수 있다.

▷ 디렉터리 서비스 프로토콜 액티브 디렉터리는 산업 표준인 LDAP를 이용하여 디렉터리 내에서 데이터와 같은 필요한 서비스를 요청하고 데이터를 업데이트 하기 위해 사용한다.

2. AD의 구성

1) 논리적 구성

▷ 도메인 (Domain) 다른 네트워크를 구별짓는 보안 경계(Security boundary)로, 각 도메인은 네트워크를 관리할 관리자 계정들을 가지고 있고, 그 관리자 계정들은 도메인 전역 또는 정해진 도메인 관리를 위한 전체(full control) 권한을 할당 받을 수 있다. 도메인은 자신의 사용자들과 그룹들을 가지고 있으며 이러한 사용자들은 필요시 다른 도메인에서 권한을 부여 받을 수 있다. 도메인은 복제 목적으로도 사용된다. 도메인 안에 있는 도메인 컨트롤러(DC; Domain Controller)는 서로 복제하여 도메인 정보를 공유한다.

▷ 조직 단위 (Organization Unit) 디렉토리 내에서 객체를 구성하기 위해 사용되는 컨테이너 객체(Container Object)이다. OU들은 보통 사용자 객체와 그룹 객체를 포함하고 그밖에 컴퓨터와 다른 OU들을 포함할 수 있다. 권한의 지정은 OU 단계에서 할당되며 특정 사용자들에게 관리자적 권한을 부여하기 위해 할당된다.

▷ 트리 (Tree) 도메인은 트리 구조로 병합되며 첫번째 설치된 도메인을 루트 도메인(Root domain)이라고 한다. 트리내의 모든 도메인은 공통 스키마와 공통 글로벌 카달로그를 공유한다. 트리에서 계층 구조를 구성하는 도메인들은 인터넷 Domain 이름과 같이 사용된다. 예를 들어 "myad.local"이라고 루트 도메인을 만들고 하위에 두번째로 만들어진 "myou"라는 도메인의 전체 이름은 "myou.myad.local"이 된다.

▷ 포리스트 (Forest) 트리의 집합이며 포리스트안의 트리들은 인접 이름 공간(contiguous namespace)를 공유할 필요가 없다. 즉 트리와 같이 계층 구조의 이름을 가질 필요가 없으며 각자 루트 도메인을 유지한채 공통적인 스키마와 글로벌 카달로그를 공유한다. 이때 두 트리는 양방향 트러스트(trust) 관계를 통해 서로 합쳐진다.

▷ 글로벌 카달로그 (GC; Global Catalog) 포리스트 안에 있는 공통적으로 많이 검색되어지는 속성으로 정의된 것들의 부분을 가지고 있다. 글로벌 카달로그는 사용자가 접근 권한을 이용해 포리스트내 자원의 접근을 제어하여 원격지 도메인에 있는 도메인 컨트롤러에 접근하지 못하도록 하여 네트워크 트래픽을 감소시킬 수 있다. 그리고 윈도우 2003 네트워크가 가려지는 논리적인 구조를 만들 수 있도록 한다.

2) 물리적 구성

▷ 도메인 컨트롤러 (DC; Domain Controller) 액티브 디렉토리(AD; Active Directory) 데이터베이스의 복사본을 저장하는 윈도우 2003 네트워크 상에 있는 서버. DC는 데이터에 변화가 있을시 도메인 내의 다른 도메인에게 변경 사항을 복제해주어야 한다. 소규모 네트워크에서는 2개의 DC만 있으면 되고 결함허용 목적으로는 2대이상이 권장된다. 그리고 DC는 사용자가 네트워크에 로그인할 때 인증을 담당한다. 인증을 통해 그룹 멤버쉽(group membership)과 각 사용자에 대한 권한을 가지고 있는 보안 토큰(security token)을 할당한다.

▷ 사이트 (Site) 빠른 속도(보통 10Mbps 이상)의 링크로 연결된 하나 또는 그 이상의 IP 서브넷의 그룹으로 정의 한다. 사이트는 AD 복제 트래픽과 사용자 인증을 최적화하기 위해 네트워크 상에서 사용된다.

3. AD를 이용한 Windows 2003 Server의 관리

▷ 중앙 집중적인 관리 (Centralized management) AD는 중앙집중적으로 데이터를 저장하여 관리자로 하여금 객체 관리를 쉽게 한다. AD는 OU를 통해 객체를 그룹화하고 다중 단계(multiple level)와 상속(inheritance)을 가능하게 한다. 그룹 정책을 통해 특정 도메인 계층에 적용할 수 있으며 하위에 있는 개체들은 그 설정 내용을 상속받아 영향력이 미치게 된다.

▷ 그룹 정책 (Group Policy) 정책의 생성과 어플리케이션을 통해 사용자 환경을 중앙집중적으로 관리하게 한다. 그룹 정책은 AD내에 있는 사이트들과 도메인, 그리고 OU를 포함하는 컨테이너로 동작된다. 그룹 정책은 사용자의 로그온을 통해 적용되며 사용자가 어떤 컴퓨터에 로그인하더라도 네트워크 주변의 사용자를 따라다닌다. 결과적으로 사용자는 항상 같은 환경에서 익숙하게 작업할 수 있게 된다.

▷ 제어 위임 (Delegation of Control) 네트워크 관리자가 업무 분담을 위해 그룹의 멤버 사용자들에게 OU 단계에서 권한을 할당하여 스스로 관리할 수 있도록 한다.