1. Active Directory란?
– Active Directory(AD)는 마이크로소프트에 의해 개발된 디렉터리 서비스로,
네트워크 상의 사용자와 컴퓨터와 같은 리소스를 관리하고 보안을 제공하는 데 사용
– 주로 Windows 서버 환경에서 구현되며, 조직 내의 IT 인프라를 효율적으로 관리할 수 있게 해 줌
2. Active Directory 역사
2-1. 초기 발전
2-1-1. 1999년
– Active Directory가 처음으로 Windows 2000 Server와 함께 출시
– 사용자, 컴퓨터, 프린터 등의 네트워크 리소스 관리와 보안 강화를 목표로 함
2-2. 주요 업데이트
2-2-1. Windows Server 2003
– 여러 가지 중요한 기능이 추가되며 발전
– 도메인 컨트롤러 간의 복제 성능 개선, 새로운 사용자 및 컴퓨터 관리 도구 도입 등
2-2-2. Windows Server 2003 R2
– Active Directory Federation Services (AD FS)가 소개됨
– 다른 조직의 사용자가 자신의 자격 증명을 사용하여 네트워크 리소스에 접근할 수 있게 해주는 기능을 제공
2-2-3. Windows Server 2008과 2008 R2
– Active Directory 도메인 서비스(AD DS)
– Active Directory Lightweight Directory 서비스(AD LDS)
– Active Directory 인증서 서비스(AD CS)
– Active Directory 권한 관리 서비스(AD RMS) 등이 추가되거나 개선됨
2-2-4. Windows Server 2012
– 가상화와 클라우드 기술에 더 잘 통합될 수 있도록 설계된 새로운 기능들이 도입
2-2-5. Windows Server 2016과 2019
– 보안, 관리 용이성, 하이브리드 클라우드 환경 지원 기능들이 강화
2-3. 현재와 미래
2-3-1. Azure Active Directory (Azure AD)
– 클라우드 기반 서비스로, 기존의 On-Premise Active Directory 기능을 확장
– 클라우드 기반 애플리케이션과 서비스에 대한 액세스 관리 및 보안을 제공
3. Active Directory의 주요 기능
3-1. 디렉터리 서비스
3-1-3. 조직 내 리소스 관리
– 사용자, 컴퓨터, 프린터와 같은 네트워크 리소스를 중앙에서 관리
3-1-4. 객체 분류와 정리
– 다양한 객체(사용자 계정, 컴퓨터 등)를 조직적으로 분류하고 관리할 수 있는 기능을 제공
3-2. 도메인 서비스
3-2-1. 인증 및 권한 부여
– 사용자의 로그인을 검증하고, 리소스에 대한 액세스 권한을 관리
3-2-2. 정책 기반 관리
– 그룹 정책을 통해 사용자와 컴퓨터에 적용될 보안 설정과 운영 정책을 구성할 수 있음
3-3. Lightweight Directory Access Protocol(LDAP)
3-3-1. 디렉터리 정보 쿼리
– LDAP를 사용하여 디렉터리 내의 정보를 쿼리하고 수정할 수 있음
3-4. 인증서 서비스
3-4-1. 공개 키 인프라(PKI)
– 디지털 인증서를 발급하고 관리하여 네트워크 보안을 강화
3-5. Federation Services
3-5-1. 단일 로그인(SSO) 구현
– 사용자가 다른 조직의 네트워크 리소스에 접근할 때 자신의 자격 증명을 사용할 수 있게 함
3-6. Lightweight Directory Services
3-6-1. 가벼운 디렉터리 솔루션
– LDAP 저장소 기능을 제공하지만, 전체 도메인 서비스의 기능은 제공하지 않는 가벼운 버전
3-7. 권한 관리 서비스
3-7-1. 디지털 권한 관리
– 파일과 데이터에 대한 접근 권한을 세밀하게 제어할 수 있음
4. Active Directory 용어
4-1. 도메인(Domain)
– 도메인은 AD의 기본 구성 단위
– 공통의 보안 정책, 계정 정보, 그룹 정책 등을 공유하는 네트워크 리소스의 집합
– 사용자와 컴퓨터는 특정 도메인에 속하며, 해당 도메인의 보안 규칙과 정책을 따름
4-2. 도메인 컨트롤러(Domain Controller, DC)
– 도메인 컨트롤러는 도메인 내의 사용자 인증, 정책 적용, 디렉터리 서비스의 쿼리 처리 등을 담당하는 서버
– 도메인 내에서 중요한 관리 역할을 수행
4-3. 트리(Tree)
– 트리는 하나 이상의 도메인이 계층적 관계를 형성한 구조
– 트리 내의 도메인들은 연속적인 네임스페이스를 공유하며, 상위 도메인의 보안 정책과 설정을 상속받을 수 있음
4-4. 포리스트(Forest)
– 포리스트는 하나 이상의 트리가 모여 이루는 최상위 수준의 AD 구조
– 포리스트 내의 모든 도메인은 공통의 스키마와 글로벌 카탈로그를 공유
– 포리스트는 AD 환경의 보안 경계를 정의
4-5. 스키마(Schema)
– 스키마는 AD 내의 객체와 그 속성을 정의하는 규칙과 구조의 집합
– 스키마를 통해 AD 내에서 사용될 수 있는 객체 유형과 그 속성을 정의하고, 디렉터리 서비스의 데이터 구조를 관리
4-6. 조직 단위(Organizational Unit, OU)
– 조직 단위는 도메인 내에서 사용자, 그룹, 컴퓨터 등의 리소스를 더욱 세분화하여 관리할 수 있는 컨테이너
– OU를 사용하여 보다 세밀한 권한 할당과 정책 적용이 가능
4-7. 글로벌 카탈로그(Global Catalog, GC)
– 글로벌 카탈로그는 포리스트 내의 모든 객체에 대한 인덱스와 일부 중요한 속성을 포함하는 AD의 구성 요소
– 사용자 인증과 권한 검증, 디렉터리 검색에 필수적
4-8. 그룹 정책(Group Policy)
– 그룹 정책은 사용자와 컴퓨터의 작업 환경을 관리하고 구성하는데 사용되는 도구
– 보안 설정, 소프트웨어 설치, 로그인 스크립트 실행 등 다양한 설정을 중앙에서 관리할 수 있음
5. Active Directory 활용 사례
5-1. 사용자 및 컴퓨터 관리
5-1-1. 중앙 집중식 계정 관리
– 조직 내의 모든 사용자 계정을 중앙에서 생성, 수정, 삭제할 수 있음
5-1-2. 컴퓨터 및 기타 디바이스 관리
– 네트워크에 연결된 컴퓨터 및 기타 디바이스를 쉽게 관리하고, 보안 정책을 적용할 수 있음
5-2. 액세스 관리 및 권한 부여
5-2-1. 세밀한 액세스 컨트롤
– 사용자나 그룹별로 파일, 폴더, 네트워크 리소스에 대한 액세스 권한을 세밀하게 조정할 수 있음
5-2-2. 다단계 인증
– 보안을 강화하기 위해 다단계 인증(MFA) 설정을 구현할 수 있음
5-3. 그룹 정책을 통한 환경 구성
5-3-1. 그룹 정책 적용
– 조직의 보안 정책, 사용자 환경 설정 등을 그룹 정책을 통해 일관되게 적용할 수 있음
5-3-2. 소프트웨어 배포
– AD 그룹 정책을 활용하여 조직 내의 모든 컴퓨터에 소프트웨어를 자동으로 설치하거나 업데이트할 수 있음
5-4. 보안 강화
5-4-1. 정기적인 비밀번호 변경 정책
– 사용자가 정기적으로 비밀번호를 변경하도록 정책을 설정할 수 있음
5-4-2. 암호화된 통신
– Kerberos 프로토콜을 사용하여 네트워크상의 인증 정보를 암호화
5-5. 단일 로그인(Single Sign-On, SSO)
5-5-1. SSO 구현
– 사용자가 한 번의 로그인으로 여러 시스템과 서비스에 액세스할 수 있도록 SSO를 구현
5-5-2. 효율적인 리소스 액세스
– 사용자는 복잡한 여러 인증 절차 없이 필요한 리소스에 쉽게 접근할 수 있음
5-6. 디렉터리 서비스 통합
5-6-1. 하이브리드 환경 지원
– On-Premise AD와 클라우드 서비스(예: Azure AD)를 통합하여 하이브리드 접근성 및 관리를 실현할 수 있음
5-6-2. 외부 파트너와의 협업
– AD Federation Services를 사용하여 신뢰할 수 있는 외부 조직과의 사용자 인증 및 리소스 공유를 용이하게 함
2 thoughts on “[WindowsServer] AD(Active Directory)란? (역사, 주요 기능, 용어, 활용 사례)”