윈도우 서버 | Active Directory | 주요 기능 소개
Active Directory(AD)는 Microsoft의 Windows Server 운영 체제에서 제공하는 디렉터리 서비스입니다. AD는 네트워크 관리자가 사용자 및 컴퓨터 계정을 중앙에서 관리하고, 리소스 접근 권한을 제어하며, 보안 정책을 일관되게 적용할 수 있도록 도와줍니다.
Active Directory의 주요 기능은 다음과 같습니다.
1. 디렉터리 서비스
- AD는 계층적 구조를 사용하여 네트워크 리소스를 조직화합니다. 최상위에는 포리스트(forest)가 있으며, 그 아래에 도메인(domain), 트리(tree), 조직 구성 단위(OU, Organizational Unit)가 있습니다.
- 포리스트는 AD의 최상위 컨테이너로, 여러 도메인을 포함할 수 있습니다.
- 트리는 도메인들의 논리적 그룹이며, 트리 내의 도메인들은 신뢰 관계를 가집니다.
- OU는 도메인 내의 컨테이너로, 사용자, 그룹, 컴퓨터, 프린터 등의 객체를 포함하며, 관리 편의성을 제공합니다.
2. 사용자 및 그룹 관리
사용자 계정 관리
- 사용자 계정은 네트워크 리소스에 접근하기 위한 인증 및 권한 부여의 기본 단위입니다.
- AD는 사용자 계정의 생성, 수정, 삭제, 비밀번호 정책 설정, 로그온 시간 제한 등의 기능을 제공합니다.
그룹 계정 관리
- 그룹 계정은 사용자 계정을 논리적으로 묶어 관리할 수 있는 단위입니다.
- 보안 그룹(Security Groups): 네트워크 리소스에 대한 접근 권한을 설정하는 데 사용됩니다.
- 배포 그룹(Distribution Groups): 이메일 배포 목록 등과 같은 목적으로 사용됩니다.
3. 인증 및 권한 부여
Kerberos 인증
- AD는 Kerberos 프로토콜을 사용하여 사용자 및 서비스 간의 안전한 인증을 제공합니다.
- 티켓 기반 인증 시스템으로, 사용자가 네트워크에 로그온할 때 티켓을 받아 다른 서비스에 접근할 수 있습니다.
NTLM 인증
- NTLM(New Technology LAN Manager) 프로토콜을 사용하여 인증을 제공합니다.
- Kerberos를 사용할 수 없는 환경에서 주로 사용됩니다.
4. 그룹 정책(GPO)
정책 설정
- 그룹 정책은 사용자 및 컴퓨터의 설정을 중앙에서 관리할 수 있는 도구입니다.
- 보안 설정, 소프트웨어 배포, 네트워크 설정 등을 포함한 다양한 정책을 적용할 수 있습니다.
정책 적용
- 그룹 정책은 도메인, 사이트, OU 단위로 적용되며, 특정 사용자나 컴퓨터에 세부적으로 적용할 수 있습니다.
- 정책은 로컬 그룹 정책 → 사이트 정책 → 도메인 정책 → OU 정책 순으로 적용되며, 충돌 시 후속 정책이 우선합니다.
5. 도메인 네임 시스템(DNS) 통합
DNS와의 통합
- AD는 DNS와 긴밀하게 통합되어 도메인 컨트롤러 및 기타 네트워크 리소스를 찾는 데 사용됩니다.
- DNS는 AD의 도메인 구조와 일치하도록 구성되며, 서비스 위치(SRV) 레코드를 통해 도메인 컨트롤러를 식별합니다.
6. 리플리케이션 및 사이트 관리
리플리케이션
- AD는 멀티 마스터 리플리케이션을 통해 도메인 컨트롤러 간의 데이터 일관성을 유지합니다.
- 변경 사항은 포리스트 내의 모든 도메인 컨트롤러에 복제됩니다.
사이트 관리
- 사이트는 네트워크 상의 물리적 위치를 나타내며, 네트워크 트래픽 최적화를 위해 사용됩니다.
- 사이트 간 리플리케이션은 WAN 트래픽을 최소화하기 위해 스케줄링 및 압축을 통해 최적화됩니다.
7. 보안 및 감사
액세스 제어 목록(ACL)
- AD 객체에 대한 접근 권한을 제어하기 위해 액세스 제어 목록을 사용합니다.
- ACL은 누가 어떤 권한으로 객체에 접근할 수 있는지를 정의합니다.
감사 정책
- AD는 보안 이벤트를 기록하고 모니터링할 수 있는 감사 기능을 제공합니다.
- 사용자 로그온/로그오프, 계정 변경, 권한 부여 등의 이벤트를 추적할 수 있습니다.
8. 스크립팅 및 자동화
PowerShell
- AD는 PowerShell cmdlet을 통해 관리 작업을 자동화할 수 있습니다.
- 사용자 계정 생성, 그룹 관리, 정책 설정 등을 스크립트를 통해 자동화할 수 있습니다.
LDAP
- AD는 LDAP(Lightweight Directory Access Protocol)를 통해 디렉터리 서비스에 접근할 수 있습니다.
- LDAP를 사용하여 AD 데이터를 쿼리하고, 검색하며, 수정할 수 있습니다.