[Active Directory] AD 용어

작업 그룹(WORKGROUP) 기본적으로 Windows 네트워크(LAN)에서 도메인에 가입하지 않은 하나 이상의 컴퓨터다. 모든 컴퓨터는 단독으로 존재하므로 컴퓨터들 사이의 의존성은 없다. 예를 들어 컴퓨터 1에서 ‘Hajin’이라는 로컬 사용자가 있고 컴퓨터 2에서도 ‘Hajin’이라는 이름의 사용자가 있다고 가정해보자. 이들 사용자는 동일한 이름을 가지며 같은 사람이지만 완전히 다른 사용자다. 따라서 사용자의 암호를 관리하기 원한다면 각 컴퓨터 콘솔에 로그인하여 암호를 바꿔야 한다. 이들 사용자를 중앙에서 관리할 방법은 없다.

 

도메인(Domain) AD의 가장 기본이 되는 단위이다. 관리를 하기 위한 하나의 큰 단위의 범위를 표현하며, 관리를 위해서 지역적인 범위로 구분될 수 있다. 도메인을 사용하는 이유는 무엇일까? 모든 개체가 중앙에서 관리된다면 해당 사용자의 암호를 변경하기 위해 각 컴퓨터에 연결하여 작업할 필요가 없다.

 

Active Directory 도메인 서비스(AD DS) Windows Server 운영체제에 통합된 서비스이지만 기본적으로 자동 설치는 아니다. AD는 백그라운드에서 Windows 서비스로 돌아가기 때문에 AD를 시작하거나 중지할 수 있다. 이러한 점은 AD 정식 복원을 위한 복구 모드나 데이터베이스 유지관리 작업으로 부팅하지 않아도 되기 때문에 커다란 개선이라고 할 수 있다.

 

도메인 컨트롤러(DC) 모든 도메인 컨트롤러는 다른 도메인 컨트롤러에서 동적으로 업데이트하는 AD 데이터베이스의 자체 사본을 가지고 있다. AD에 가입되거나 통합된 모든 시스템은 AD에 의존하기 때문에 이중화를 목적으로 한다면 적어도 2대의 도메인 컨트롤러가 필요하다.

 

사이트(SITE) 네트워크의 물리적 구조나 토폴로지를 나타낸다. 정의상 사이트는 잘 연결된 서브넷의 컬렉션이다. 대개의 경우 지사를 사이트로 생성한다. 해당 시스템이 해당 지사 네트워크 내에서는 잘 연결되지만 본사와는 소규모 네트워크 연결을 갖는다고 가정해보자. 이 경우 해당 지사를 하나의 사이트로 생성한다.

 

복제(Replication) AD는 멀티마스터 복제 시스템으로 설계됐다. 예를 들면, DC1이나 DC2에서 사용자 ‘Hajin’을 생성하는 변경을 수행하면 이러한 변경이 해당 사용자를 생성하지 않은 DC에 복제된다는 것을 의미한다. 물론, 동일한 사이트의 각 DC는 모든 변경을 15초 이내에 복제하고 다른 사이트의 DC와는 최소 15분(기본값은 180분)이 걸린다. AD는 고급 알고리즘에 따라 최적 복제 경로를 계산하여 모든 DC가 가장 최근의 업데이트 파일을 다운로드하도록 한다.

 

개체(object) 간단히 말해서 AD내의 모든 것은 개체다. 예를 들어 사용자 Son은 개체다. 이 사용자의 이름을 변경한다면 First Name(성)이라는 특성에 저장된 ‘Hajin’이라는 속성을 변경하는 것이다. 컴퓨터 계정을 생성한다면 이때 해당 그룹과 조직 단위, 사이트, IP 서브넷 등은 속성이 있는 개체다.

 

스키마(Schema) 생성하는 개체에 대한 클래스를 갖고 있다. 사용자 Son을 생성하는 경우 사용할 템플릿 뭉치를 스키마라고 생각해보자. AD는 예를 들면 이름과 성처럼 사용자가 어떤 속성을 가지며 어떻게 보이는지를 알아야 한다. 이러한 정보가 스키마로 제공된다.

 

그룹 정책(GPO) 사용자와 컴퓨터에 대한 구성 설정에 필요하다. 하나의 그룹 정책에서 여러 설정을 구성하고 GPO를 대상 OU에 연결해 이들 설정을 하나 이상의 사용자나 컴퓨터에 적용하기 때문에 매우 편리하다.

예를 들어 각 서버에서 원격 데스크톱을 활성화한 후 RDP 클라이언트를 사용해 연결한다고 가정해보자. 각 컴퓨터에 직접 이를 설정하려면 많은 작업을 해야 한다. 그룹 정책에서 원격 데스크톱 설정을 활성화하고 서버가 존재하는 OU에 연결하면 이 OU 내의 모든 컴퓨터는 원격 데스크톱이 활성화된다.

 

GPO는 사이트와 도메인, OU에 연결할 수 있다. 서버를 도메인 컨트롤러로 승격시킬 때는 2개의 정책이 기본적으로 들어간다. 모든 도메인에는 ‘기본 도메인 정책’과 ‘기본 도메인 컨트롤러 정책’이 있다.

 

조직 단위(OU) 그 이름이 의미하는 것처럼 AD의 개체, 주로 사용자와 컴퓨터 개체를 체계화하는 데 사용한다. OU는 마치 비슷한 개체를 담는 컨테이너와 같다. AD에서 개체를 조직 단위로 나누는 데는 두 가지 이유가 있다. 첫 번째 이유는 그룹 정책 개체(GPO)를 연결하는 것이고, 두 번째 이유는 제어를 위임하는 데 OU가 필요하기 때문이다.

‘USERS’라는 조직 단위를 생성한 후 이 OU에 ‘Hajin’을 넣었다고 가정해보자. ‘Hajin’은 항상 네트워크 드라이브 연결을 얻기 원한다. 따라서 GPO를 생성한 후 이 정책을 USERS OU에 연결하면 ‘Hajin’은 GPO에서 이 설정과 모든 네트워크 드라이브 연결을 얻을 것이다.

 

기본 도메인 정책 처음 도메인을 생성하자마자 만들어진다. 이 정책은 전체 도메인에 적용하는 사용자와 컴퓨터에 대한 설정을 포함하고 있다. 이 정책은 기본적인 정책 개체이므로 삭제하지 않아야 하며 이 정책을 수정할 수는 있지만 권장하지는 않는다. (새로운 정책을 생성한 후 사용자 지정 설정을 하자)

 

기본 도메인 컨트롤러 정책 AD에서 Domain Controllers 컨테이너에 연결된 매우 중요한 정책이다. 기본 도메인 컨트롤러 정책에서 구성한 설정은 해당 도메인 컨트롤러에만 적용하는 특정 구성이다. 이 정책에 손을 대야 할 경우는 거의 없다.

 

글로벌 카탈로그(GC) 다중 도메인 AD 포리스트에서 모든 도메인의 각 개체에 관한 정보를 포함하고 있다. GC는 GC서버로 설정한 DC에 저장되며, 그 데이터는 AD 복제를 통해 분산된다. 한 포리스트 내에는 하나의 GC만 존재하지만 사본은 여러 개가 있을 수 있다. GC는 간단하게 포리스트 내의 개체에 관한 정보를 가지고 있기 때문에 Exchange와 같은 응용 프로그램이나 클라이언트는 GC에게 질의하여 포리스트 내의 개체에 관한 정보를 얻는다. GC에는 다른 도메인의 다른 개체에 대한 참조 제공과 UPN(사용자 계정 이름) 풀이, 유니버설 그룹 멤버십 캐시와 같은 다른 서비스 또한 제공된다.

 

트러스트 서버나 응용 프로그램처럼 도메인들 간의 리소스를 액세스 하기 위한 연결이다. 예를 들면, 어떤 사용자가 다른 편의 도메인에 있는 파일 공유나 인트라넷 정보를 액세스해야 하는 경우 트러스트가 사용된다. 한 도메인과 자식 도메인을 설치한다면 AD는 자동으로 전이적 트러스트를 생성한다. 이 방식으로 자식 도메인에서 루트 도메인의 개체를 액세스하거나 그 반대로 액세스 할 수 있다. 또 다른 포리스트의 리소스를 액세스해야 한다면 양쪽 포리스트를 연결하는 트러스트 형식을 생성할 수 있다.

 

트리 동일한 포리스트 내에서 연속 네임스페이스를 가지며 동일한 스키마를 공유하는 하나 이상의 도메인을 구축한다면 트리를 생성한다. 연속 네임스페이스는 동일한 루트 도메인 이름을 공유하는 도메인이다. 예를 들면, 루트 도메인이 hajin.com일 때 가능한 연속 네임스페이스로 son.hajin.com을 사용하는 경우다. AD 트리는 전이적 트러스트 계층 구조로 만든 도메인의 컬렉션이다.