[윈도우서버] Active Directory (1)

1. Active Directory (AD) 란

Active Directory란 Directory Service를 윈도우 서버에서 구현해놓은 것이다.

네트워크상의 분산되어 있는 컴퓨터, 사용자, 자원 정보를 중앙 저장소에 통합시켜 관리한다.

2. AD의 구조

Object < OU < Domain < Tree < Forest

1) 도메인 (Domain)

AD의 가장 기본이 되는 단위로, AD의 영향이 미치는 범위이다.

도메인 내에서도 부모 도메인과 자식 도메인으로 구분할 수 있다.

2) 도메인 컨트롤러 (Domain Controller, DC)

도메인을 관리하는 도구로, 도메인당 최소 한개 이상이 필요하다.

3) 읽기 전용 도메인 컨트롤러 (Read Only DC, RODC)

소규모로 운영되어 별도의 서버 관리자를 두기 힘들 시 사용된다. 주 DC로부터 데이터를 전송받아 읽기 전용으로 사용한다.

4) 조직 구성 단위 (Organizational Unit, OU)

도메인 내에서 AD에 존재하는 개체 (Object)들을 그룹으로 묶어 정책을 관리하기 위해 사용하는 단위이다.

5) 트리 (Tree), 포레스트 (Forest)

물리적으로 따로 존재하는 것은 아니고 개념적인 것이다. 도메인이 모이면 트리, 트리가 모이면 포레스트라고 부른다.

6) 글로벌 카탈로그 (Global Catalog, GC)

포레스트에 포함된 도메인들의 모든 객체에 대한 정보를 저장하는 데이터베이스이다.

3. Active Directory 그룹

AD 그룹은 도메인의 사용자들에게 권한을 편하게 부여하기 위해 사용된다.

글로벌 그룹(Global Group), 도메인 로컬 그룹 (Domain Local Group), 유니버셜 그룹 (Universial Group) 으로 나뉜다.

도메인 내의 자원 접근 가능여부에 따라 이름이 지어진 것 같다.

1) 글로벌 그룹

모든 도메인에 위치한 자원에 권한을 할당할 수 있다.

같은 도메인 내의 사용자 혹은 다른 도메인의 글로벌 그룹이 구성원으로 포함될 수 있다.

2) 도메인 로컬 그룹

해당 도메인 로컬 그룹이 소속된 도메인의 자원에만 권한을 부여할 수 있다.

다른 도메인에 있는 사용자도 구성원으로 포함될 수 있다.

3) 유니버셜 그룹

글로벌 그룹과 도메인 로컬 그룹이 합쳐진 개념이다.

모든 도메인의 사용자가 구성원이 될 수 있으며, 모든 도메인의 자원에 접근 가능하다.

하지만 유니버셜 그룹은 내부적으로 성능 저하를 유발할 수 있어, 이 대신에 AGDLP 그룹을 사용한다.

4. 자식 도메인 (Child Domain)

1) 사용 이유

본사가 서울에 있고 부산에 지사가 있는 회사가 AD를 사용하는데 도메인이 서울에만 있다면 매번 정보를 서울의 DC로부터 먼 네트워크를 통해 가져와야 한다. 또한, 지사가 더 많을 경우 각 지사의 자원을 따로 관리하기 힘들 것이다. 이러한 문제를 해결하기 위해 부모 도메인 아래 여러 자식 도메인을 생성하여 운영한다.

2) 자식 도메인 이름

자식 도메인은 부모 도메인 앞에 새로운 도메인을 추가하여 완성된다. 예를 들어, 본사의 도메인 이름이 mycompany.com 이라면 부산 지사의 도메인은 busan.mycompany.com 으로 생성할 수 있다.

3) 트러스트 (Trust)

말 그대로 신뢰 관계이다. 도메인 간에 설정된 관계로, 한 도메인의 사용자가 다른 도메인의 컨트롤러에서 인증될 수 있도록 자원을 공유한다. 기본적으로 부모와 자식 도메인은 신뢰 관계를 맺는다. 즉, 부모에서 생성된 계정으로 자식 도메인에서 로그인할 수 있으며 자식에서 생성된 계정으로 부모 도메인에서 로그인할 수 있다.

하지만 권한의 차이가 있다. 부모 도메인 계정은 자식 도메인의 모든 권한을 가지고 있지만, 자식 도메인 계정은 부모 도메인의 읽기 권한만 가지고 있다.