Active Directory(AD)란?
- 중앙서버에서 Object를 관리하기 위해 공통된 DB를 생성하여 사용자의 계정정보를 가지게 되는데 서버와 사용자는 해당 DB를 공유하여 Object를 검색하고 AD에서 사용자 인증 및 권한 부여 처리해주는 서비스이다
- 윈도우 운영체제가 설치된 클라이언트들을 묶어 관리하기 편리하며, 도메인 단위로 컴퓨터 자원 관리가 가능하다.
AD관련 용어
도메인(Domain)
- AD의 기본 단위, 논리적 범주
- AD가 설치된 윈도우 서버가 하나의 도메인이라고 보면 된다.
**AD FS(AD Federation Services)
- 도메인 페더레이션 및 웹 기반 단일 로그인 관리
AD LS(AD Lightweigth Directory Services)
- LDAP라고 하는 디렉토리 방식 구현
**AD CS(AD Certificate Services)
- 공개키 및 인증서 관리
**AD RMS(AD rights Management Services)
- AD 정보보호 및 권한 관리
트리와 포리스트(Tree, Forest)
-
Tree는 도메인의 집합이다.
-
Tree가 여러개로 AD가 구성된 경우 Forest라고 부른다.
사이트(SITE)
-
물리적 범주
-
지리적으로 떨어져 있으며 IP 주소 대가 다르다.
트러스트(Trust)
-
Domain 또는 Forest 사이에 신뢰할 지 여부에 대한 관계를 나타내는 의미로 사용
-
Trust 안의 Domain 사이에는 도메인끼리 서로 신뢰하는 상호 양방향 전이 트러스트를 가진다
OU(조직구성 단위)
-
권한, 그룹 정책을 적용할 수 있는 최소 단위
-
GPO를 적용할때 해당 OU에 정책을 적용한다.
-
컴퓨터 계정, 기타 자원이나 부서, 팀 이런걸 분류할 수 있다.
도메인 컨트롤러(Domain Controller,DC)
-
로그인, 이용권한 확인, 새로운 사용자 등록, 암호 변경 등을 처리하는 기능을 하는 서버 컴퓨터를 도메인 컨트롤러라고 한다.
-
AD에서 도메인 서비스를 구현할 경우 도메인에 하나 이상의 DC를 설치해야 한다.
글로벌 카탈로그(GC, Global Catalog)###
- 포리스트 내 모든 도메인에 있는 개체에 대한 정보를 모아 놓은 DB
- 글로벌 카탈로그를 사용해 자주 사용하는 개체의 사본을 저장하여 효율적인 검색을 수행
그룹의 종류
- 배포 그룹 : 권한 부여용으로는 사용할 수 없지만 이메일 배포 가능
- 보안 그룹 : 접근 권한 및 사용자 권한 부여 목적으로 사용
그룹의 범위
- 도메인 로컬 그룹
- 조인대상 : 포리스트 내 모든 사용자 및 컴퓨터- 공유범위 : 해당 도메인 내의 자원
- 글로벌 그룹
- 조인대상 : 해당 도메인 내의 사용자 및 컴퓨터- 공유범위 : 포리스트 내 모든 자원
- 유니버셜 그룹
- 조인 대상: 포리스트 내 모든 사용자 및 컴퓨터
- 공유범위 : 포리스트 내 모든 자원
도메인 로컬 그룹 + 글로벌 그룹의 형태
history and study