Active Directory란?

회사 직원들의 계정 정보(ID/PW)와 컴퓨터에 대한 정보, 그리고 회사에서 강제하고자 하는 정책들(ex. 패스워드 최소 8자리, 30일 주기로 변경, 컴퓨터 5분 이상 미사용 시 화면 보호기 실행 등)에 대한 정보를 저장하고 있는 일종의 데이터베이스(파일 타입)입니다.

Active Directory의 데이터베이스 파일 저장 경로(default) : C:\Windows\NTDS

• 가장 좋은 방법은 OS 파티션보다는 서로 다른 물리 디스크 파티션에 저장하는 것입니다.
• Ntds.dit – 물리적 활성 디렉토리 데이터베이스 파일입니다. 여기에 모든 활성 디렉토리 데이터가 저장됩니다. 도메인 정보, 스키마 정보 및 구성 정보를 보유합니다. 주로 3개의 테이블을 포함합니다.
  1) Link table
  2) Data table
  3) Security Depositor table
• Edb.log – 여기에서 edb*로 시작하는 몇 개의 로그 파일을 볼 수 있습니다. 각각의 크기는 10mb 이하입니다. 데이터베이스 파일에 쓰기 전에 디렉토리 트랜잭션을 저장하기 위해 시스템에서 유지 관리하는 트랜잭션 로그입니다(oracle의 redo log)
• Edb.chk – 로그 파일(Edb*.log)에서 데이터베이스로 커밋된 데이터 트랜잭션을 추적하기 위한 파일입니다(oracle의 checkpoint).
• Temp.edb – Active Directory 데이터베이스 유지 관리 중에 데이터를 보관하고 진행 중인 대규모 AD 데이터 트랜잭션에 대한 정보를 저장하는 데 사용됩니다(oracle의 temp 파일).
• Res1.log 및 Res2.log – 이 예에서는 볼 수 없지만 edb.log 파일이 가득 차면 로그 항목을 저장할 파일 유형입니다(oracle의 archive redo log).

데이터베이스에 저장된 정보를 조회, 저장, 변경하기 위해선 관리 콘솔(MMC)을 이용합니다.

AD를 구성한 Windows Server의 서버 관리자에서 [도구]를 클릭하시면 아래와 같이 항목이 보입니다.

• Active Directory 사용자 및 컴퓨터
  • 사용자 계정 생성
  • 패스워드 리셋
  • 컴퓨터 사용 안 함
  • ...
    
• 그룹 정책 관리
  • 회사에서 강제하는 IT 정책 생성 및 적용
    

AD 용어

• Object(개체) : User, Computer, 공유 폴더, 프린터 등 각종 자원
• Directory : Object(개체) 정보를 저장할 수 있는 정보 저장소
• Directory Service : Object(개체) 생성, 검색, 관리, 사용을 가능하게 하는 서비스
• Active Directory Domain Service(AD DS) : Windows Server에서 제공하는 도메인 관리 Directory Service

도메인(Domain)

• AD의 가장 기본이 되는 단위
• AD가 설치된 Windows Server가 하나의 Domain
• 관리를 위한 하나의 논리적인 단위
• 도메인 안에 부모 도메인/자식 도메인으로 나뉠 수 있다
• 부모 도메인 : ictsec.com / 자식 도메인 : busan.ictsec.com

트리(Tree)와 포리스트(Forest)

• 트리(Tree)는 논리적인 도메인 집합
• 여러 개의 트리(Tree)가 모이면 포리스트(Forest)

사이트(Site)

• 도메인이 논리적인 범위라면 사이트는 물리적인 범위
• 부모 도메인 : ictsec.com / 자식 도메인 : busan.ictsec.com 일 때 두 사이트는 지리적으로 떨어져 있고 IP 주소도 다르다

트러스트(Trust)

• 도메인 또는 포리스트 사이에 신뢰 관계를 나타낸다
• 트러스트 안에 도메인들 사이에는 상호 양방향 전이 트러스트를 갖는다(도메인끼리 서로 신뢰)

조직구성 단위(Organiztion Unit, OU)

• 도메인 내부에서 사용되는 일종의 폴더
• 권한, 그룹 정책을 적용할 수 있는 최소 단위

도메인 컨트롤러(Domain Controller, DC)

• 로그인, 이용권한 확인, 새로운 사용자 등록, 암호 변경 등을 처리하는 AD 관리 서버
• AD DS를 구성할 경우 도메인에는 하나 이상의 DC를 설치해야 한다

글로벌 카탈로그(Global Catalog)

• 트러스트 내의 도메인에 포함된 Object에 대한 카탈로그 정보 저장소
• 예를 들어, 사용자의 경우 이름, ID, PW 등의 정보가 글로벌 카탈로그에 저장된다

AD 도메인 가입(join)

AD를 통해 인증과 권한 관리를 하고자 한다면 대상이 되는 컴퓨터들이 모두 AD 도메인에 가입되어야 합니다. 즉, AD에 가입된 모든 클라이언트 컴퓨터들의 DNS는 모두 AD DNS로 설정되어야 합니다.

클라이언트 컴퓨터의 DNS가 AD를 바라보도록 변경

---

참고

• https://www.azurekor.com/153
• http://www.rebeladmin.com/2015/02/active-directory-database-sysvol-and-system-state/
• https://peemangit.tistory.com/68