Active Directory 끝판왕

액티브 디렉토리(Active Directory, 이하 AD)란 무엇인가?

 

기본적으로 AD는 사용자가 마이크로소프트 IT 환경에서 업무를 수행하는 데 도움을 주는 데이터베이스이자 서비스집합입니다.

 

  ● 데이터베이스(또는 디렉토리)는 환경에 대한 중요한 정보를 담고 있습니다. 사용자와 컴퓨터 목록, 누가 무엇을 할 수 있는지에 대한 정보 등이 포함됩니다. 예를 들어, 데이터베이스에는 100명의 사용자 계정을 각 사용자의 직책, 전화번호, 비밀번호와 같은 세부정보와 함께 리스팅할 수 있습니다. 또한, 각 사용자의 권한도 기록합니다. 예를 들어, 모든 사용자가 회사 복지 정보를 읽도록 허용하고, 금융 문서는 소수의 사람들만 보거나 수정하도록 허용할 수 있습니다.

 

● 서비스는 IT 환경에서 일어나는 대부분의 활동을 제어합니다. 특히 서비스는 일반적으로 사용자가 입력하는 사용자 ID와 비밀번호를 확인하는 방법으로, 사용자가 주장하는 본인이 맞는지 검증하고(인증), 각기 허용된 데이터에만 액세스할 수 있도록 합니다(승인).

 

 

AD는 어떤 구조로 구성됩니까?

 

AD에는 크게 도메인(Domain), 트리(Trees), 포리스트(Forests)의 세 가지 계층이 있습니다. 도메인은 관련된 사용자, 컴퓨터 및 기타 AD 객체(예를 들어, 회사의 시카고 지사를 위한 모든 AD 객체)로 구성되는 그룹입니다. 여러 개의 도메인을 트리로 결합할 수 있으며, 여러 개의 트리를 포리스트로 그룹화할 수 있습니다. 여기서 중요한 점은 다음과 같습니다.

 

  ● 도메인은 관리 경계입니다. 특정 도메인을 위한 객체는 하나의 데이터베이스에 저장되며 함께 관리가 가능합니다.

 

● 포리스트는 보안 경계입니다. 서로 다른 포리스트의 객체는 각 포리스트의 관리자가 해당 객체간 신뢰를 형성하지 않는 한 상호 작용할 수 없습니다. 예를 들어, 상호 독립된 여러 개의 사업부가 있는 경우 여러 개의 포리스트를 만드는 것이 좋습니다.

 

• 도메인 : 관계형 데이터베이스에서 테이블의 각 속성이 가질 수 있는 값의 집합.
• 도메인은 Active Directory의 영향이 미치는 범위를 논리적으로 정의한 단위이다. 도메인에 소속된 서버 및 클라이언트 컴퓨터들은 도메인에 존재하는 Active Directory가 제공하는 디렉터리 서비스의 영향권 안에 놓이게 된다. 기본적으로 Active Directory는 도메인 내에서 제공되며 사용되고 유지된다. 회사의 필요에 의해 여러개의 도메인이 생성되었다면 각각의 도메인마다 자신들의 고유한 Active Directory를 가지게 되는 것이다.

 

 

AD 데이터베이스 안에는 무엇이 있습니까?

 

AD 데이터베이스(디렉토리)에는 도메인의 AD 객체(AD objects)에 대한 정보가 포함됩니다.

이러한 객체는 유일한 식별성을 가지며 보편적인 AD 객체 유형으로는 사용자, 컴퓨터, 애플리케이션, 프린터, 공유 폴더 등이 있습니다. 일부 객체는 다른 객체를 포함할 수 있습니다

(AD를 ‘계층적’이라고 말하는 이유).

특히, 앞으로 이어질 글에서는 조직이 AD 객체를 조직 단위(organizational units, OU)로 구성해서 관리를 간소화하고 사용자를 그룹으로 묶어 보안 능률을 높이는 방법을 살펴볼 것입니다. 이러한 OU와 그룹은 그 자체로 디렉토리에 저장되는 객체입니다.

 

객체에는 특성(attributes)이 있습니다. 명확하게 드러나는 특성도 있고, 잘 드러나지 않는 특성도 있습니다. 예를 들어, 사용자 객체는 일반적으로 그 사람의 이름, 비밀번호, 부서, 이메일 주소와 같은 특성 외에 고유한 전역 고유 식별자(Gobally Unique Identifier, GUID)와 보안 식별자(Security Identifier, SID), 마지막 로그온 시간, 그룹 멤버십과 같은 특성도 포함합니다.

 

데이터베이스는 구조적입니다. 즉, 저장되는 데이터의 유형과 데이터를 조직화하는 방법을 좌우하는 설계가 존재합니다. 이 설계를 스키마(schema)라고 합니다.

AD도 예외는 아닙니다. AD 스키마에는 AD 포리스트에 생성 가능한 모든 객체 클래스의 공식적인 정의와 AD 객체에 존재할 수 있는 모든 특성이 포함됩니다. AD에는 기본 스키마가 제공되지만 관리자가 비즈니스 요구에 맞게 기본 스키마를 수정할 수 있습니다. 중요한 점은 사전에 신중하게 스키마를 계획해야 한다는 것입니다. AD는 인증 및 승인에서 핵심적인 역할을 하므로 나중에 AD 데이터베이스 스키마를 변경하려면 비즈니스에 큰 중단이 발생하기 때문입니다.

 

 

Active Directory의 용도와 활용

 

Active Directory가 일종의 데이터베이스이고, 사용자 계정 정보와 컴퓨터 정보 같은 것들이 저장된다고 말씀 드렸습니다. 그렇다면 실제로 이러한 데이터베이스 정보들은 어디서 어떻게 사용되는 것일까요? 회사 전체 IT 시스템에서 사용자에 대한 인증과 권한이 필요한 부분에서는 모두 Active Directory의 정보를 활용한다고 보시면 될겁니다.

 

보안의 3요소인 authentication, authorization, audit인 3A를 통해 설명드리겠습니다.

Authentication(인증)

인증은 사용자가 누구인지 확인(혹은 본인이 맞다는 것을 증명)하는 것입니다. 예를 들어 사용자가 컴퓨터에 로그온 할 때, 자신의 ID와 Password 를 입력해서 자신이 인가된 사용자가 맞다고 증명하는 것이 인증입니다.

Authorization(권한부여)

권한은 말 그대로 어떤 작업을 수행하는데 필요한 권한을 가지고 있는지 확인하는 것입니다. 예를 들어 회사 내에 파일 서버가 있고, 각 부서 별로 폴더를 만들어서 사용하는 경우에, 각 부서 폴더는 해당 부서의 부서원에게만 읽기, 쓰기, 수정 권한을 부여하고, 다른 부서원이 접근하는 것은 차단하는 것이 권한입니다

 

Audit(감사)

또한 이런 인증과 권한부여에 있어 문제가 유무와 오류제어를 위해 감사가 이루어집니다.

 

보안의 3 요소가 해당하 곳에서 Active Directory 정보가 사용된다고 보시면 되겠습니다.

 

 

액티브 디렉터리 서비스

• 네트워크 상의 모든 정보를 계층형 디렉터리에 저장해서 편리하게 관리할 수 있는 서비스
• 네트워크 자원(Network Resource)을 디렉터리에 저장해서 사용자들이 자원을 쉽게 검색할 수 있게 하고, 관리자는 관리의 편의성을 향상시키는 서비스

액티브 디렉터리

• 네트워크에 대한 모든 정보를 보유함
• 보유한 정보를 검색하기 위해서 이름공간(Name Space)에서 검색하 수 있게 함.

객체

• 액티브 디럭터리에서 자원의 초소 단위
• 일반적인 객체의 종류

액티브 디럭터리 논리적 구조와 물리적 구조

• 논리적 구조
• 조직구성(Organization Units)
• 트리(Tree)
• 포리스트(Forest)

 

물리적 구조 상세 내용

• 도메인 컨트롤러(Domain Controller
• 사이트(Site)

 

액티브 디렉터리 보안기능

• 접근통제(Access Control List)
• 권한 위임(Delegation)
• 상속(Inheritance)
• 신뢰 관계(Trust Relationships)