4. Windows Server Active Directory
AD 개요
▪ Microsoft사에서 제공하는 대규모 네트워크 관리 및 운영을 위한 기술
• 대규모 회사는 지역적으로 분산된 환경에서 많은 수의 컴퓨터를 운영
• 이러한 네트워크 환경에서 ‘단일 서버’은 한계가 있음
▪ 네트워크 상으로 나눠져 있는 여러 자원(Resource)을 중앙 관리자가 통합 관리
• 직원들은 자신의 PC에 모든 정보를 보관할 필요가 없어짐
• PC가 있는 장소와 무관하게 회사의 어디서든 자신의 ID로 회사 전체 자원을 편리하게 사용
▪ 통합 관리를 위해 AD에서 지원되는 기술은 굉장히 많음
• 주로 윈도 사용자 및 윈도 단말의 일괄 관리를 위해 사용
▪ 생소한 용어 및 구성이 어려워 진입 장벽이 높음
AD 용어
▪ Directory Service
• 분산된 네트워크 관련 자원 정보를 중앙 저장소에 통합시켜 관리 가능하게 해주는 서비스
• 즉. 사용자는 중앙의 저장소를 통해 원하는 네트워크 자원에 대한 정보를 ‘자동으로’ 취득/접근
▪ Active Directory (AD)
• Directory Service를 Windows Server에서 구현한 것
▪ Active Directory Domain Service (AD DS)
• AD를 통해 컴퓨터 사용자, 기타 주변 장치에 대한 정보를 네트워크상에 저장하고 이 정보를 관리자가 통합 관리
• Domain Controller 필요 (= DNS)
▪ Domain Controller (= DNS)
• 로그온, 이용 권한 확인, 새로운 사용자 등록, 암호 변경, 그룹 등을 처리하는 서버 컴퓨터
• 각 도메인 마다 하나 이상의 DC 설치
▪ 읽기 전용 Domain Controller (RODC)
• 주 DC로 부터 AD 관련 데이터를 전송받아 저장 후 사용 (데이터 추가/변경 불가)
• 본사와 멀리 떨어진 지사에 사용
– DC는 필요 하지만 규모가 크지 않아 관리자를 두기 어려운 경우 또는 주 컨트롤러의 부하를 분담 위해 사용
▪ Domain (= Group)
• AD의 가장 기본 단위로 서울본사, 부산 지사 등이 각각 하나의 도메인
• 즉. 관리 범위를 표현
▪ 트리(Tree)
• 도메인의 집합
• RAPA.com = 서울지사 , 부산지사, 광주지사
– RAPA Tree
» 서울지사 = rapa.com = 부모 도메인
» 부산지사 = bs.rapa.com = 자식 도메인
» 광주지사 = gj.rapa.com = 자식 도메인
▪ 포리스트 (Forest)
• 서로 다른 Tree의 묶음
* 도메인 < 트리 < 포리스트 or 도메인 < 트리 ≤ 포리스트
=>부모, 자식 도메인 나누는 이유? AD성능 향상, 분리된 정책
▪ 조직 구성 단위 (Organizational Unit , OU)
• 도메인을 세부적으로 나눈 단위
• RAPA 서울 지사 (= RAPA 서울 도메인)
– 인사팀 (OU)
– 관리팀 (OU)
– 운영팀 (OU)
▪ 글로벌 카탈로그 (Global Catalog , GC)
• AD 도메인 안에 포함된 개체에 대한 정보를 수집해 저장하는 통합 저장소
– 사용자의 정보 , 전체 이름 , 아이디 , 암호 등..
• 가장 먼저 설치하는 Domain Controller가 GC 서버로 지정 됨
• 필요시 모든 DC는 GC로 동작 가능
– 각 지사에 관리해야 하는 정보가 방대한 경우 부하 분산 용도 (AD 성능 향상)
– 서울 DC = 서울 GC / 부산 DC = 부산 GC / 광주 DC = 광주 GC
=> GC, 필수는 아니지만 트리내에 1개의 이상의 GC필수
AD
대규모 네트워크 관리 및 운영을 위한 기술 (MS 제공)
네트워크 상으로 나눠져 있는 여러 자원(Resource)을 중앙 관리자가 통합 관리
주로 윈도우 사용자 및 윈도우 단말의 일괄 관리
AD 용어
Directory Service
자원 관련 정보를 중앙 저장소에 통합시켜 관리 해주는 서비스의 통칭
Active Directory
Windows Server 에서 사용하는 Directory Service
Active Directory Domain Service
Windows Server 에서 동작 하는 주요 AD 서비스
컴퓨터 사용자 , 기타 주변 장치에 대한 정보를 네트워크상에 저장하고 저장된 정보를 관리자가 통합 관리
DNS 서버와 함께 동작
Domain Controller
Active Directory Domain Service가 동작하는 서버 컴퓨터
ADDS 데이터(자신의 domain)를 저장하고 관리 , 사용자 인증 요청 처리
도메인 내의 보안 정책 시행
도메인에 하나 이상의 DC 필요 (이중화)
DC간 서로 데이터베이스 복제해 일관성 유지
ADDS 설치 후 DC로 승격
Read Only Domain Controller
별도의 관리자 없이 주 DC로부터 AD 관련 데이터를 전송 받아 운영
지사의 AD 운영을 위해 DC가 필요 하지만 규모가 작거나 / 지리적으로 멀리 떨어져
운영자를 별도로 두기 어려운 곳에 운영
Global Catalog
모든 도메인에 속한 객체의 부분적인 속성을 저장
포리스트 내 개체의 빠른 검색 및 조회를 지원
가장 먼저 설치하는 DC가 GC 서버로 지정 됨
필요시 모든 DC는 GC로 동작 가능
Domain
AD의 가장 기본 단위로 지사는 각각 하나의 도메인
DC의 논리적 관리 범위
Tree / Forest
Domain의 집합 (= Tree)
Tree의 집합 (= Forest)
1회사(1 Forest) = 1 Tree
2회사 합병 (1 Forest) = 2 Tree
한빛 (Forest = Tree)
서울본사 = hanbit.com → 부모 도메인 (DC/GC)
부산시자 = busna.hanbit.com → 자식 도메인 (DC) or (DC/GC)
OU
조직 구성 단위로 Domain을 세부적으로 나눈 단위
한빛 서울 본사 = hanbit.com (DC/GC) = 부모 도메인
인사팀 (OU)
관리팀 (OU)
운영팀 (OU)
한빛 부산 지사 = busan.hanbit.com (DC) or (DC/GC) = 자식 도메인
영업팀 (OU)
감사팀 (OU)
생산팀 (OU)
AD 필요성
▪ 회사 사용자의 정보 관리 일원화
▪ 그룹정책을 통해 사용자의 관리 및 정책 관리
• 사용자 그룹 정책
– 특정 계정은 ESXi 서버의 VM 생성 불가 ...
• 컴퓨터 그룹 정책
– 사용권한 제어 , 계정 및 암호정책 , 네트워크 정책 , 소프트웨어 제한 ...
▪ 소프트웨어 라이센스 관리 일원화
▪ 개별 운영/관리 되던 전산자원 (PC , PDA ..) 논리적으로 조직화 ➔ 중앙 통합관리
NetBIOS
Windows 환경의 네트워크에 사용
별개의 컴퓨터 상에 애플리케이션들이 근거리 통신망 내에서 서로 통신할 수 있게 해주는 프로그램
NetBIOS를 사용해 동일한 네트워크에 연결된 여러 대의 컴퓨터 간 통신을 가능하게 해줌
NetBIOS 형식
[소속NetBios]\[username]
HANBIT\administrator
UPN (User Principal Name) 형식
[username]@[소속 domain]
administrator@hanbit.com
AD 포리스트 생성
hanbit.com 포리스트 & 트리 생성
서울 본사 FIRST 서버
AD DS 기능 설치
DC 승격
root domain / 부모 도메인 생성 (hanbit.com)
DNS , GC 필수 동작
second.hanbit.com 도메인 추가
부산 지사 SECOND 서버
AD DS 기능 설치
DC 승격
sub domain / 자식 도메인 생성 (second.hanbit.com)
hanbit.com 도메인 / 자원에 대한 IP 해석 응답을 받기 위해 FIRST를 DNS로 설정
DNS (선택) , GC (선택)
지리적 또는 본사 DNS와 네트워크 이슈가 있는 경우 자체 DNS 운영
부산 내부에 관리 해야 할 DB가 많은 경우 GC로 운영해 본사 GC의 역할 분담
hanbit.com 도메인 확장
뉴욕 사무실 THIRD 서버
AD DS 기능 설치
DC 승격
hanbit.com 도메인의 추가 DC로 운영
hanbit.com 도메인 / 자원에 대한 IP 해석 응답을 받기 위해 FIRST를 DNS로 설정
RODC 운영
관리자가 따로 없는 소규모 환경에서 운영
DNS (선택) , GC (불가)
지리적 문제로 자체 DNS 운영
hanbit.com 도메인의 DC는 2대 / second.hanbit.com 도메인 DC는 1대
FIRST 서버
hanbit.com 포리스트 부모도메인 DC , Root 도메인 DC
hanbit.com 도메인 DC
hanbit.com 서울 본사 / 뉴욕 사무실 도메인 DC
SECOND 서버
hanbit.com 자식도메인 DC , sub 도메인 DC
THIRD 서버
hanbit.com 도메인 소속 RODC
DC의 local 계정 사용 불가
Server의 administrator 계정은 AD의 user 자원으로 등록 됨
즉. NetBIOS / UPN 방식으로만 접근 가능
NetBIOS : 도메인 자체를 나타내는 이름 , 도메인 내부에 MS windows를 운영하는 컴퓨터 이름
hanbit.com = HANBIT
second.hanbit.com = SECOND0
second.hanbit.com 내부에서 동작 하는 SECODN 서버가 이미 SECOND 라는 컴퓨터 이름으로 동작 중
도메인 내의 컴퓨터 이름과 중복 사용 불가
[Domain NetBIOS]\[Username]
UPN (User Principal Name)
AD 환경에서 자원을 식별하는 또다른 형식
email 형식과 유사
[Username]@[Domain name]
AD 사용자 계정과 조직 구성 단위
▪ 사용자 계정
• ‘로컬 사용자 계정’ 과 AD 도메인에 접근 가능한 ‘도메인 사용자 계정’이 있음
▪ 도메인 사용자 계정 표현 (ex. hanbit.com 의 thisUser)
• 기본 도메인 로그온 이름 : HANBIT\thisUser => NETBIOS\(도메인)사용자 계정
• UPN(User Principal Name) : thisUser@hanbit.com 도메인 사용자 계정@도메인
• Distinguished name : CN=thisUser , OU=조직구성단위이름 , DC=hanbit , DC=com
• Relative Distinguished name : CN=thisUser
▪ 조직 구성 단위 (Organizational Unit , OU)
• 사용자 , 그룹 , 컴퓨터를 포함할 수 있는 Active Directory 컨테이너
• 즉. 회사의 내부의 조직 , 도메인의 작은 개념
• 사용자 뿐만 아니라 컴퓨터, 프린터, 그룹, 다른 OU등 모두 포함 가능
AD 그룹 개요
▪ 사용자 또는 컴퓨터의 집합
▪ 그룹은 다른 그룹을 포함 가능
▪ 그룹을 구성하는 컴퓨터 및 사용자의 편리한 권한 부여가 목적
▪ AD가 운영되는 회사의 사원이 100명 이라면?
• 각 직원마다 권한 부여 위해서는 많은 시간과 노력 필요
• 운영 및 관리 불편
▪ ‘사원 그룹’ 생성 후 그룹에만 권한 부여 후 100명의 사원을 그룹에 소속
• 그룹에 소속된 사원은 그룹의 권한을 갖게 됨
▪ 그룹 종류
• 배포 그룹
• 보안 그룹
– 글로벌 그룹
– 도메인 로컬 그룹
– 유니버설 그룹
▪ 보안 그룹 (Security Group)
• 글로벌 그룹
– 모든 도메인에 위치한 자원의 권한 할당 가능 (공유폴더, 프린터 등...)
– 글로벌 그룹을 생성한 도메인의 구성원만 소속이 가능
• 도메인 로컬 그룹
– 다른 도메인에 있는 사용자도 구성원 가능
– 도메인 로컬 그룹을 생성한 도메인의 자원만 권한 할당 가능
• 유니버설 그룹
– 글로벌 그룹 + 도메인 로컬 그룹
– 모든 도메인의 자원에 대한 권한 할당 가능 / 모든 도메인의 사용자 소속 가능
AD 그룹 & 권한 권장
▪ Microsoft사는 Active Directory를 설계할 때 ‘AGDLP’ 순서 권장
▪ 관리의 일관성 , 명확한 권한 구조 , 확장성 및 유연성 측면에서 유리
• 자원을 직접 컨트롤 하는 방법 보다는 그룹의 권한 및 계층에 의한 종속성을 이용한 관리가 효율적
Account (사용자 계정)➔ Global group (글로벌 그룹) ➔ Domain Local group (도메인 로컬 그룹) ➔ Permission (권한)
▪ 각 도메인 사용자는 자신의 도메인에 생성된 글로벌 그룹에 가입
▪ 이 글로벌 그룹은 도메인 로컬 그룹에 가입
▪ 도메인 로컬 그룹에 자원에 대한 권한 부여
• hanbit.com 도메인 사용자 , second.hanbit.com 도메인 사용자 모두 자원에 접근 가능
사용자 계정
로컬 사용자 계정
도메인 사용자 계정
AD 도메인 접근 가능
AD 관리 자원 사용 가능
계정 표현 방식
NetBIOS
[NetBIOS]\[Username]
HANBIT\hanbituser
UPN
[Username]@[AD Domain Name]
hanbituser@hanbit.com
계정 생성
사용자 로그온 이름 == Username
사용자 개인 정보 등록 가능
로그온 시간 설정 가능
hanbit.com DC 생성한 계정 ⇒ hanbit.com 도메인 User 자원
second.hanbit.com DC 생성 계정 ⇒ second.hanbit.com 도메인 User 자원
조직 구성 단위 (OU)
사용자 , 그룹 , 컴퓨터를 포함할 수 있는 Active Directory 컨테이너
도메인의 최소 단위 (팀 , 파트 …)
사용자 , 컴퓨터 , 프린터 , 그룹 등..
실수 삭제 방지 (Default 적용)
OU 안에 OU 생성 가능
관리부 OU
1팀 OU
2팀 OU
AD 그룹
사용자 또는 컴퓨터 집합
다른 그룹 포함 가능
컴퓨터 및 사용자의 편리한 권한 부여가 목적
그룹 종류
배포그룹
보안그룹
글로벌 그룹
글로벌 그룹을 생성한 도메인 구성원만 Join 가능
도메인 구분 없이 자원 권한 부여 가능
도메인 로컬 그룹
도메인 구분 없이 구성원 Join 가능
도메인 로컬 그룹을 생성한 도메인 자원만 권한 부여 가능
유니버설 그룹 (비권장)
도메인 구분 없이 구성원 Join 가능
도메인 구분 없이 자원 권한 부여 가능
AGDLP 설계 권장
Account (계정) ⇒ Global Group (글로벌 그룹) ⇒ Domain Local Group (도메인 로컬 그룹) ⇒ Permission (권한)
다양한 글로벌 그룹 (사용자 그룹) 과 다양한 도메인 로컬 그룹 (자원 그룹) 조합으로 효율적 관리 가능
도메인 로컬 그룹의 구성원을 사용자가 아닌 글로벌 그룹으로 지정
유니버설 그룹과 동일한 효과
AD 계정 / OU / 그룹 Summary
▪ 그룹은 작업을 하는 계정을 관리하거나 권한을 부여하기 위한 단위
▪ OU는 사용자 , 그룹 , 컴퓨터 등을 배치할 수 있는 컨테이너 (= 폴더 , 부서)
▪ OU는 그룹 정책을 적용하기 위한 최소 단위로 사용
• OU에는 권한을 줄 수 없음
▪ 사용자 계정은 하나의 OU에만 가입 가능
▪ 사용자 계정은 여러 개의 그룹에 가입 가능
AD 그룹 정책 개념
▪ AD 통해 도메인 안의 많은 컴퓨터나 사용자에게 다양한 사용 제한 구성 가능 => 권한X 정책O
• 특정 사용자에게만 동작하는 프로그램 지정
• 시작 메뉴 사용 옵션
• USB 및 CD/DVD 사용 제한
• 잘못된 사용자의 시스템 구성 변경이나 네트워크 바이러스 침투 등의 사고 예방
▪ 그룹 정책을 통해 각 컴퓨터 및 사용자에 대한 일괄된 관리 가능
▪ 그룹 정책 개체 (Group Policy Object , GPO)
• 그룹 정책을 묶은 개체
• GOP는 도메인 단위에 저장
– 글로벌 카탈로그에 해당 정보가 저장
• GPO를 적용하기 위한 가장 작은 단위 : OU
• 종류
– 로컬 GPO : 4순위
– 사이트 GPO : 3순위
– 도메인 GPO : 2순위
– OU GPO : 1순위
▪ 그룹 정책은 상속 가능
• 부모 컨테이너 → 자식 컨테이너
• 자식 컨테이너는 필요시 상속 내용 재정의 , 상속 차단 가능
• 부모 컨테이너는 차단 하지 못하도록 강제 상속 가능
Ex) hanbit.com 도메인 → 기술부 OU → 기술1팀/2팀 OU 상속
hanbit.com
• 기술부 OU
– 기술1팀 OU
– 기술2팀 OU
AD 그룹 정책의 가능한 작업
▪ 보안 설정
• 보안 강화를 위한 사용자의 암호 및 계정 잠금 등에 대해 도메인의 모든 사용자에게 강제로 적용
▪ 스크립트 설정
• 사용자 로그온/로그아웃 시 또는 컴퓨터의 부팅과 종료 시에 자동으로 실행될 작업을 스크립트에 지정
▪ 폴더 리디렉션
• 사용자가 도메인 내의 어느 컴퓨터에서 로그온하더라도 자신의 문서 등에 대한 폴더를 동일한 환경으로 제공
▪ 소프트웨어 설정
• 사용자가 사용할 소프트웨어에 대해 설치 , 삭제 , 업데이트 제어
OU 와 그룹의 차이는 ?
AD에서 자원과 사용자를 관리하는 데 중요한 역할
목적과 기능은 다름
OU 목적 (폴더)
조직 구조적으로 나누어 관리 => 기본 목적 사용
조직의 구조나 부서 , 위치 등을 반영해 AD 객체를 논리적으로 그룹화
예: OU=Sales , OU=HR , OU=IT
관리의 단순화 및 권한 위임
특정 OU에 대한 관리 권한을 특정 관리자에게 위임
예: IT 부서의 관리자에게 ‘OU=IT’의 관리 권한을 부여해, IT 부서의 사용자 및 컴퓨터 계정을 관리 가능
그룹정책 (GPO) 적용 => 주 목적으로 사용
특정 OU에 GPO를 연결해 해당 OU에 속한 사용자와 컴퓨터에 정책을 적용
예: OU=Workstation 에 특정 보안 설정 , 소프트웨어 배포 , 스크립트 등을 적용하는 GPO 연결
계층적 구조
상위 OU와 하위 OU를 통해 계측적 이고 세분화된 관리 가능
주요 특징
컨테이너 객체 : 다른 AD 객체를 포함할 수 있는 컨테이너 역할
보안 주체 아님 : 리소스 접근 권한을 부여받을 수 없음 (관리 및 정책 적용 단위로 사용)
그룹 목적 (AD 객체 리스트)
리스트 대상 권한 부여
그룹을 사용해 리소스(파일 , 폴더 , 프린터 등)에 대한 접근 권한 부여
예: 특정 파일 서버의 폴더에 접근할 수 있는 권한을 SelesTeam 그룹에 부여
관리의 단순화
여러 사용자에게 동일한 권한을 부여해 관리 작업을 단순화
주요 특징
보안 주체 : 리소스 접근 권한을 부여받을 수 있음
OU(Organizational Unit):
목적: 관리 및 조직 구조 반영
역할: 관리 권한 위임, 그룹 정책 적용
사용 예: 부서별로 사용자와 컴퓨터를 관리하고, 정책을 적용
그룹(Group):
목적: 권한 부여
역할: 접근 권한 부여
사용 예: 여러 사용자에게 파일 서버 접근 권한 부여e xx
그룹 & OU
그룹 : 작업을 하는 계정을 관리하거나 권한을 부여하기 위한 단위
사용자는 여러 그룹에 가입 가능
글로벌 그룹
도메인 로컬 그룹
유니버설 그룹
OU : 그룹 정책을 적용하기 위한 최소 단위
사용자는 하나의 OU에만 가입 가능
그룹 정책
AD 도메인 내의 컴퓨터나 사용자의 다양한 사용 제한 규칙
보안 설정
스크립트 설정
폴더 리디렉션
소프트웨어 설정
사용자 그룹 정책
사용자 기반 정책
김국진 계정 사용자는 사내 어떤 컴퓨터에 로그인 해도 제어판 사용 불가
이경규 계정 사용자는 사내 어떤 컴퓨터에 로그인 해도 바탕화면 배경 변경 불가
컴퓨터 그룹 정책
교육장 모든 컴퓨터는 부팅 후 자동으로 브라우저가 실행되며 회사 홈페이지 접속
교육장 모든 컴퓨터는 부팅 후 교육장 공유 폴더가 네트워크 드라이브(Z:\)로 자동 연결
그룹 정책 개체(GPO)
그룹 정책 묶음
적용 최소 단위 : OU
적용 우선 순위
OU GPO
도메인 GPO
사이트 GPO
로컬 GPO
그룹 정책 상속
부모OU에 적용된 GPO는 자식OU에 자동 상속
자식OU는 부모OU의 GPO 상속 차단 가능
부모OU는 자식OU의 GPO 상속 차단을 넘어서는 강제 상속 가능