[Active Directory] WORKGROUP vs Domain

작업 그룹(WORKGROUP)

컴퓨터를 처음 시작하면 기본 값은 WORKGROUP이다. 아마 이 글을 보는 대다수의 사람들 모두 WORKGROUP일 것이다. Workgroup은 개개별 컴퓨터를 자신이 관리하는 것이다. 즉, 인증과 허가를 로컬에서 한다는 것이다. 로컬 그룹 정책(gpedit.msc)

 

도메인(Domain)

도메인은 중앙에 있는 ID를 관리하는 곳에 연계를 해서 그 시스템이 발급하고 처리해주는 ID 시스템을 쓰겠다는 것이다. 도메인을 쓴다는 것은 결국 Active Directory를 쓴다는 것이고 Domain Join이 바로 AD의 구성원이 되는 것이다. 그룹 정책(gpmc.msc)

 

Workgroup VS Domain

📌 WORKGROUP

장점 : 소규모 그룹에 적절하고 로컬 인증을 받기 때문에 그냥 A면 A따로 B면 B따로가 되는 것이다.

단점 : 자원의 접근이 필요 없으면 상관이 없는데 A에서 B컴퓨터에 들어갈 때 일일이 자격증명을 입력해줘야 한다.

 

📌 DOMAIN

장점 : 도메인에 가입하면 ID와 PW같은 계정 정보를 하나의 컴퓨터 즉, 중앙에서 관리할 수 있기 때문에 손쉽게 관리가 가능하다.

단점 : 도메인 컨트롤러가 망가지면 모든 인증체계가 동작하지 않는다. (그래서 MS에서 AD환경에는 복수개의 DC를 권장한다)

 

Mirror Account

어? 근데 나는 작업 그룹을 사용할 때도 다른 컴퓨터에 접속할 때 그런 게 없었는데? 보통 많은 컴퓨터가 있는 환경이면 A 컴퓨터, B 컴퓨터, C 컴퓨터 모두 똑같은 계정과 암호를 사용한다. 예를 들어 모든 계정이 아이디 sysop 비번 Pa$$worD 이런 식으로 다 똑같기 때문에 이미 sysop의 정보를 가지고 있어서 자격 증명 입력이 필요하지 않았을 것이다.

 

모든 os를 통틀어서 다른 컴퓨터에 접속을 하려면 무조건 인증 절차가 주어진다. A컴퓨터에 접속하려면 A컴퓨터 계정에 대한 자격 증명이 필요한데 같은 ID와 PW를 쓰는 본인은 이미 A컴퓨터의 정보를 가지고 있는 것이다. 이런 방식을 미러 어카운트라고 한다. 컴퓨터 10대가 모두 똑같은 아이디, 비번을 사용한다.

 

미러 어카운트의 단점은 한 명 퇴사하면 한개 씩 확인해서 정보를 지워야 하고 중앙 관리자의 관리가 없으니까 보안 체계도 후달리게 된다.

 

결론 : 도메인과 작업 그룹은 보는 관점에 따라 각각 장단점이 있다.

 

Reference

https://docs.microsoft.com/ko-kr/archive/blogs/koalra/ad-active-directory