[Active Directory] 2편

※ 2편에서는 논리적 구성 요소를 알아봅시다! Active Directory 3편 ← 클릭

 

* 도메인(Domain)

 ① 조직 내 Active Directory 개체를 관리하고 그룹화할 수 있는 논리적인 디렉터리 구성 요소

 ② 사용자가 로그인을 하거나 인증을 받을 때 인증받는 영역의 최소 단위

 ③ 그룹 정책을 반영할 수 있는 하나의 단위 요소

 ④ 인증된 개체들이 어디까지의 범위로 활동할 수 있는지에 대한 경계(보안의 최소 영역)

 

* 트러스트(Trust)

 - 다른 도메인에서 자원 공유를 요구하는 것

 

* 트리(Tree)

 - 도메인 트리는 액티브 디렉터리 내 도메인 계층 구조이다. (도메인의 집합)

 - 루트 도메인이 hajin.net인 경우 son.hajin.net으로 자식 도메인을 만들 수 있고, 한 단계 더 내려간 레벨의 www.son.hajin.net으로 로 도메인 생성이 가능하다. 이와 같은 것을 트리 구조라고 한다.  

 

* 포리스트(Forest 숲, Tree(나무)가 모여 숲이 된다.)

 - 한 개 이상의 도메인 트리의 묶음 (도메인 < 트리 < 포리스트)

 - 하나 이상의 도메인 트리가 트러스트 관계를 형성하여 각 도메인의 자원을 공유할 수 있도록 설정하는 것이다.

출처 : https://forgarden.tistory.com/69

 

* 객체(Object)

 - 무언가를 구성하는 특성(Attributes)을 가진 최소 단위(컴퓨터, 사용자, 그룹 등)

 ex) hajin.com 도메인의 엔지니어부 OU에 있는 손하진 사용자

      - CN=손하진, OU=엔지니어부, DC=hajin, DC=com

 ① DC(Domain Component, 도메인 구성 요소)

 ② OU(Organizational Unit, 조직 구성 단위)

 ③ CN(Common Name, 호스트 이름)

 

* OU

 - 사용자, 그룹, 컴퓨터를 포함할 수 있는 Active Directory의 컨테이너 역할을 한다.

 - 회사의 관리부, 회계부, 기술부 등의 부서가 OU에 해당된다. 때문에 OU는 도메인 내에서 여러 '사용자'를 하나로 묶어주는 역할을 한다.

 - OU에는 사용자뿐 아니라 컴퓨터, 프린터, 그룹, 다른 OU 등을 모두 포함시킬 수 있다.

 

* OU 특징

 - Active Directory의 다른 종류의 개체를 보관할 수 있다. (별도의 제어 위임 / 그룹 정책을 줄 수 있다)

 

* 그룹

 - 그룹은 비슷한 컴퓨터, 사용자, 다른 그룹들의 논리적인 집합이다.

 - OU와의 가장 큰 차이점은 용도이다. OU는 그룹 정책 설정에 사용하며, 그룹은 리소스에 대한 액세스를 제어할 때 사용한다.

 - 그룹 정책 ex) 특정 부서가 제어판 사용을 금지시키는 등의 조직별로 적용되는 정책

 - 리소스에 대한 액세스 ex) 특정 폴더나 파일로의 접근을 금지하는 등을 뜻함

 - 그룹은 크게 두 가지로 나눌 수 있다.

  ⑴ 보안 그룹 : 앞서 말한 리소스에 대한 권한을 부여할 때 사용하는 그룹이다. (주로 사용됨)

  ⑵ 배포 그룹 : 단순히 이메일을 배포할 때 사용하는 그룹이다. (특정 그룹을 상대로 이메일을 한 번에 보낼 때 사용)

 

* 그룹 범위

 ① 유니버셜 그룹(Universal)

   - 도메인 기능 수준이 Windows 2000 기본 이상으로 설정된 경우에만 사용 가능

   - 글로벌 그룹과 동일하지만 유니버셜 그룹은 포리스트내의 모든 사용자 계정을 포함한다.

   - 성능 저하를 가져올 수 있으므로 꼭 필요한 경우에만 사용한다. 

   + 이유 : 글로벌 카탈로그라는 곳에 그룹에 포함된 사용자 계정의 정보가 저장되므로 복수의 도메인의 경우 유니버셜 그룹의 사용자 계정 중 하나의 정보를 변경하면 복제 트래픽이 일어난다.

   - 도메인 내의 로컬 그룹과 유니버셜 그룹의 구성원이 될 수 있다.

 

 ② 글로벌 그룹(Global)

   - 도메인의 사용자 계정을 조직화하기 위해 사용

   - 같은 도메인 사용자 계정을 관리하기 위해 사용 (ex. 같은 도메인의 사용자가 다른 도메인에 존재하는 개체에 접근 시에 사용된다)

   - 도메인 내의 모든 로컬 그룹과 유니버셜 그룹의 구성원이 될 수 있다.

 

 ③ 도메인 로컬 그룹(Domain local)

   - 자원이 있는 컴퓨터에 생성 (자원이 생성된 곳에 그룹을 생성하고 각 사용자 계정을 관리하기 위해 생성)

   - 도메인 사용자 및 로컬 사용자, 글로벌 그룹, 유니버셜 모든 그룹을 구성원으로 가질 수 있다. (다른 도메인에 존재하는 그룹이라도 상관없다.)

   - 도메인 기능 수준이 2000 이상으로 설정된 경우 도메인 로컬 그룹을 도메인 로컬 그룹의 구성원으로 가질 수 있다. (그룹 중첩 기능) 단 같은 도메인에 있어야만 한다.

 

* 스키마(Schema)

 - 사용자는 계정이 있어야 되고, 암호가 있어야 되고, 암호의 형식은 이렇게 된다.라는 식의 큰 틀을 칭한다.

 - AD 내에 저장될 수 있는 모든 개체의 유형을 선언할 수 있고, 개체 생성 및 구성 시 규칙을 적용할 수 있다.

 

* FSMO(Flexible Single Master Operation)

 ① Schema Master

  - 스키마를 관리하는 서버(포리스트에 한 대만 존재)

 ② Domain Naming Master

  - 도메인 확장시 전체 도메인에 대한 구조를 관리하는 서버(포리스트에 한 대만 존재)

 ③ PDC Emulator

  - 사용자에 대한 암호 변경에 대한 확인, NT 4.0 이하의 서버가 있는 경우에는 NT 4.0의 Single Master에 대한 기능을 처리해주기 위한 서버

  - AD 전체는 인증 메커니즘의 일부로 시간을 사용하는데, 시간에 대한 중앙 관리를 해줌

 ④ RID Master

  - 계정 또는 그룹 및 개체에 부여되는 SID가 중복되지 않게 관리하는 서버

 ⑤ Infrastructure Master

  - 도메인이 두 개 이상이 있을 경우, 도메인 간 변경 내용을 체크해주는 서버