Active Directory 란
- 규모가 있는 회사의 네트워크 상황을 Windows Server에 구현하기 위한 기술
- 네트워크 상으로 나눠져 있는 여러 자원을 중앙 관리자가 통합하여 관리하여, 본사 및 지사의 직원들은 자신의 PC에 모든 정보를 보관할 필요가 없어짐
용어 정리
- Directory Service: 분산된 네트워크 관련 자원 정보를 중앙 저장소에 통합시켜 놓은 환경.
- Active Directory: Directory Service를 Windows Server에서 구현한 것
- AD DS(Active Directory Domain Service): 컴퓨터, 사용자, 기타 주변 장치에 대한 정보를 네트워크 상에 저장하고 이러한 정보들을 관리자가 통합하여 관리하도록 해줌.
- 도메인(domain): Active Directory의 가장 기본이 되는 단위. 아래 그림에서 ‘서울 본사’, ‘부산 지사’ 등이 각각 하나의 도메인이라고 보면 된다.
- 트리(tree)와 포리스트(forest)
- 트리는 도메인의 집합. 포리스트는 여러 개의 트리로 구성.
- 도메인 < 트리 <= 포리스트의 관계
- 트리가 하나 뿐이면 트리와 포리스트가 같을 수 있다.
- 사이트(site): 도메인이 논리적인 범주라면, 사이트는 물리적인 범주. 사이트는 지리적으로 떨어져 있으며, IP 주소대가 다른 묶음.
- 트러스트(trust): 도메인 또는 포리스트 사이에 신뢰할지 여부에 대한 관계를 나타낸다.
- 조직 구성 단위(Organizational Unit, OU): 한 도메인 안에 있는 세부적인 단위(예시. 부서)
- 도메인 컨트롤러(Domain Controller, DC): 로그인, 이용 권한 확인, 새로운 사용자 등록, 암호 변경 그룹 등을 처리하는 기능을 하는 서버 컴퓨터. 도메인에는 하나 이상의 DC를 설치해야된다.
- 아래 그림에서는 ‘본사 서버’, ‘부산 지사 서버’, ‘일본 지사 서버’ 등이 DC다.
- 읽기 전용 도메인 컨트롤러(Read-Only Domain Controller, RODC)
- 주 도메인 컨트롤러로부터 데이터를 전송받아 저장한 후 사용하지만 스스로 데이터를 추가하거나 변경하지 않음
- 소규모로 운영되어 별도의 서버 관리자를 두기 어려울 경우 유용
- 아래 그림에서 일본 사무실의 규모가 작아서 서버 관리자를 두기 어려운 경우, 본사 서버(주 도메인 컨트롤러)로부터 데이터를 전송 받아 사용
- 글로벌 카탈로그(Global Catalog, GC): 트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장되는 저장소
AD 사용자 계정과 조직 구성 단위
사용자 계정
- ‘로컬 사용자 계정’과 Active Directory 도메인에 접근할 수 있는 ‘도메인 사용자 계정’이 있음
- 도메인 사용자 계정의 4가지 표현
- NETBIOS를 이용한 로그온 이름: HANBIT\brainUser
- UPN(User Principal Name): brainUser@hanbit.com
- DN(Distinguished name): CN=brainUser, OU=조직구성단위이름, DC=hanbit, DC=com
- Relative Distunguished Name: CN=brainUser
조직 구성 단위
- 조직 구성 단위(Organizational Unit, OU): 사용자, 그룹, 컴퓨터를 포함할 수 있는 Active Directory 컨테이너
- 사용자뿐 아니라 컴퓨터, 프린터, 그룹, 다른 OU 등을 포함할 수 있다.
- OU는 도메인 내에 여러 리소스를 하나로 묶어주는 역할을 한다.
Active Dicrectory 그룹
- 그룹은 사용자 또는 컴퓨터의 집합
- 그룹은 다른 그룹을 포함할 수도 있음
- 그룹을 사용하는 가장 큰 목적은 편리하게 권한을 부여하기 위함
- Active Directory 그룹 분류
- 글로벌 그룹(Global Group)
- 도메인 로컬 그룹(Domain Local Group)
- 유니버설 그룹(Universal Group)
OU와 그룹의 차이점
- 그룹은 동일한 작업을 하는 계정을 관리하거나 권한을 부여하기 위한 단위이다.
- OU는 사용자, 그룹, 컴퓨터 등을 배치할 수 있는 컨테이너이다.(폴더와 비슷한 개념)
- OU는 그룹 정책을 적용하기 위한 최소 단위로 사용된다.
- OU에는 권한을 줄 수 없다.
- 사용자 계정은 하나의 OU에만 가입할 수 있다.
- 사용자 계정은 여러 개의 그룹에 가입할 수 있다.
글로벌 그룹
- 모든 도메인에 위치한 자원(공유 폴더, 프린터 등)에 권한을 할당할 수 있는 그룹
- 포함 가능 구성원
- 글로벌 그룹과 같은 도메인의 다른 글로벌 그룹
- 글로벌 그룹과 같은 도메인에 있는 사용자 계정 또는 컴퓨터 계정
도메인 로컬 그룹
- 글로벌 그룹과 반대
- 도메인 로컬 그룹이 소속된 도메인의 자원만 권한을 할당할 수 있음
- 포함 가능 구성원
- 모든 도메인의 사용자 계정 또는 컴퓨터 계정
- 모든 도메인의 글로벌 그룹 및 유니버설 그룹
- 같은 도메인의 다른 도메인 로컬 그룹
유니버설 그룹
- 글로벌 그룹과 도메인 로컬 그룹을 합쳐 놓은 개념
- 모든 도메인의 자원에 접근 가능
- 포함 가능 구성원
- 모든 도메인의 사용자 계정 또는 컴퓨터 계정
- 모든 도메인의 글로벌 그룹
- 유니버설 그룹의 정보는 GC에 모두 저장되어야 하기 때문에 전반적인 Active Directory 네트워크 성능에 나쁜 영향을 끼침
ADGLP
- MS에서는 그룹과 권한을 관리할 때, ADGLP 전략을 권장한다.
- Account(사용자 계정) -> Global group(글로벌 그룹) -> Domain Local group(도메인 로컬 그룹) -> Permission(권한)
Windows Server에서 기본 제공 그룹
- 기본 로컬 그룹
- 독립 실행형 서버에서 로컬에 기본으로 제공하는 그룹
| 그룹 이름 | 설명 |
|---|---|
| Administrators | 컴퓨터 운영에 관련된 모든 권한을 가지는 그룹으로 Administrator 계정이 기본적으로 소속된 그룹이다. |
| Backup Operators | 백업 및 복구에 관련된 그룹이다. |
| Guests | 임시로 사용되는 그룹으로, Guest 계정이 소속되어 있다. |
| Hyper-V Administraotrs | Hyper-V의 모든 기능을 제한없이 사용할 수 있는 그룹이다. |
| Netowrk Configuration Operators | TCP/IP를 설정 및 변경의 권한을 갖는 그룹이다. |
| Performance Monitor Users | 주로 원격지에서 서버의 성능 카운터 모니터링을 목적으로 하는 그룹이다. |
| Power Users | 이전 버전과 호환성 때문에 존재하는 그룹으로 Users 그룹과 동일한 권한을 갖는 그룹이다. |
| Print Operators | 프린트 및 인쇄 큐를 관리하는 그룹이다. |
| Remote Desktop Users | 원격지에서 서버로 로그온할 수 있는 그룹이다 |
| Users | 응용프로그램, 네트워크, 프린터 등의 일반적인 작업을 수행 할 수 있는 그룹으로 프로그램 설치나 시스템의 설정 변경 등의 작업은 할 수 없다. 새로 생성하는 사용자 계정은 자동으로 Users 그룹에 소속된다. |
- 기본 도메인 로컬 그룹
- 도메인 컨트롤러와 Active Directory 서비스에서 기본으로 제공하는 도메인 로컬 그룹이다.
| 그룹 이름 | 설명 |
|---|---|
| Account Operators | 도메인의 사용자, 그룹, 컴퓨터 계정 등을 생성/수정/삭제할 수 있다. 단, Administrators 그룹이나 Domain Admins 그룹 및 그 사용자는 수정할 수 없다. |
| Administrators | 전체 도메인 컨트롤러에 대한 모든 권한을 가진다. |
| Backup Operators | 모든 도메인 컨트롤러를 백업 및 복원할 수 있다. |
| Cryptographic Operators | 암호화 작업에 대한 권한을 갖는다. |
| Event Log Readers | 로컬 컴퓨터의 이벤트 로그를 볼 수 있다. |
| IIS_IUSRS | IIS(인터넷 정보 서비스)에서 사용하는 기본 그룹이다. |
| Server Operators | 도메인 서버를 관리하는 권한을 갖는다. |
그룹 정책
그룹 정책 개념
- 네트워크 상에 있는 컴퓨터 및 사용자가 가질 수 있는 사용 권한을 그룹으로 묶어서 관리할 수 있는 기능
- 그룹 정책을 통해 관리할 수 있는 예
- Active Directory 내의 컴퓨터나 사용자에게 사용 가능한 프로그램을 지정하거제한할 수 있음
- 로그온 시 보여지는 바탕화면을 지정할 수 있음
- 시작 메뉴의 사용 옵션, USB나 CD/DVD의 사용 제한 등을 구성할 수 있음
- 잘못된 사용자의 시스템 구성 변경이나 네트워크 바이러스 침투 등의 사고를 예방할 수 있음
그룹 정책 개체(Group Policy Object, GPO)
- 그룹 정책을 생성한 후에 그 그룹 정책을 묶은 객체
- GPO는 도메인 단위에 저장
- GC에 GPO들이 저장된다.
- GPO 우선 순위: 로컬 GPO < 사이트 GPO < 도메인 GPO < OU GPO
그룹 정책의 상속
- 일반적으로 부모 컨테이너(도메인, OU 등)에서 자식 컨테이너로 상속이 된다.
- 필요한 경우 상속을 재정의하거나 상속을 차단할 수 있음
- 예: 도메인에 적용된 그룹 정책을 OU에는 적용되지 않도록 상속을 차단
- 반대로 상속 차단을 하지 못하도록 강제 상속하는 것도 가능
- 예: 도메인의 정책을 OU가 거부하지 못하도록 설정
그룹 정책의 가능한 작업
- 보안 설정
- 보안 강화를 위한 사용자의 암호 및 계정 잠금 방식 등에 대해서 도메인의 모든 사용자에게 강제로 적용할 수 있음
- 스트립트 지정
- 사용자의 로그온/로그오프 시, 또는 컴퓨터의 부팅과 종료 시 등에서 자동으로 실행될 작업은 스크립트에 지정할 수 있음
- 폴더 리다이렉션
- 사용자가 도메인 내의 어느 컴퓨터에서 로그온 해도 자신의 문서 등에 대한 폴더가 동일한 환경으로 제공되도록 할 수 있음
- 소프트웨어 설정
- 사용자가 사용할 소프트웨어에 대해서 설치, 삭제, 업데이트를 제어할 수 있음
- 그외에도 수 천개가 넘는다.
생성된 그룹 정책이 적용되는 시점
- 사용자가 로그온할 때
- 컴퓨터가 재부팅했을 때
- 사용자가 강제로 직접 그룹 정책을 받아올 때(명령어: gpupdate /force)
- 정책을 받아오는 주기적인 시간이 되었을 때
- GPO의 전파는 실시간으로 되지 않고 약 90분마다 적용되도록 설정되어 있다.
- 이 시간을 0분 ~ 45일까지 설정할 수 있는데, 0으로 설정하면 약 7초 단위로 GPO가 업데이트된다. 하지만 이는 네트워크 트래픽이 대폭 증가하여 문제가 될 수 있다.