액티브 디렉터리(Active Directory, AD)
[위키백과] 마이크로소프트(MS)가 윈도우 환경에서 사용하기 위해 개발한 LDAP 디렉터리 서비스 기능이다.
LDAP(Lightweight Directory Access Protocol)
TCP/IP 위에서 디렉토리 서비스를 조회하고 수정하는 응용 프로토콜
주 목적은 윈도우 기반의 컴퓨터들을 위한 인증 서비스 제공으로 윈도우 환경에서 동일한 데이터베이스를 사용해 다양한 네트워크 서비스를 제공한다.
디렉터리 서비스란
분산된 네트워크 환경에서 네트워크 사용자와 네트워크 자원에 대한 정보를 중앙의 저장소에서 통합하고 조직, 관리하는 응용 소프트웨어로 사용자와 공유된 자원 사이의 추상 계층으로 동작한다.
즉, 디렉터리 서비스는 분산된 네트워크 관련 자원 정보를 중앙의 저장소에 통합시킴으로써 더이상 사용자가 정보를 찾아 헤맬 필요 없도록 도와준다. 엑티브 디렉터리는 이러한 디렉터리 서비스를 윈도우 서버에 구현한 것으로 전체 환경을 개념적으로 부르는 용어이다.
주로 회사 직원들의 계정 정보, 컴퓨터에 대한 정보, 회사에서 강제하고자 하는 정책들(예를 들어, 패스워드 변경 시기, 일정 시간 이후 화면 보호기 실행 등)에 대한 정보를 저장하고 있는 일종의 데이터베이스이다.
액티브 디렉터리는 일반적인 데이터베이스와 다르게 파일 타입의 데이터베이스이고 암호화되어 저장되기 때문에 메모장이나 텍스트 에디터로 열어볼 수 없다. 디렉터리 관리를 위해서는 별도의 콘솔(MMC)을 이용한다.
MMC(Microsoft Managemnet Console)
윈도우 구성 요소로, 시스템 관리자 및 고급 사용자에게 시스템을 관리하고 구성할 수 있도록 도와주는 유연한 인터페이스 제공한다. 장치 관리자, 디스크 조각 모음, 인터넷 정보 서비스(IIS), 디스크 관리, 이벤트 뷰어, 공유 폴더 등의 도구를 포함한다.
컴퓨터 관리는 다른 윈도우 컴퓨터와 함께 구성될 수 있으며 로컬 컴퓨터에서 사용자가 접근하려는 다른 컴퓨터를 감시하고 구성할 수 있게 도와준다.
사용자가 본인 자원의 위치(IP 주소, 포트 등)와 해당 서버의 로컬 사용자 계정 정보를 모두 알고 있지 않아도 주로 중앙에서 사용자 인증 및 권한 부여 처리가 가능하여 기업 내 자원 및 권한 관리에 용이하다.
회사에는 다양한 부서의 많은 사람들, 그와 함께 많은 자원이 존재한다. 이러한 자원들을 통합하여 하나의 디렉터리로 운영한다면 보안과 속도, 편의 차원에서 매우 효율적일 것이다. 이러한 서비스를 ‘디렉터리 서비스’라고 하고 MS는 Active Directory 라는 이름으로 디렉터리 서비스를 개발, 제공한다.
AD는 기업과 같은 근무 환경에서 전체 자원을 중앙에서 관리, 제어하기 위해 만든 서비스이다.
디렉토리 서비스를 구성할 때 모든 컴퓨터를 하나로 묶어서 관리할수는 없다. 부서처럼 자원을 묶어줄 때 기본 단위가 되는 것을 도메인이라고 한다. 사용자가 도메인에 속해있음을 증명해야할 때 도메인 컨트롤러가 관리자 기능을 한다. 같은 도메인 내에서 보안 수준을 나누기 위해 사용하는 것이 바로 OU(조직단위) 이다.
네트워크의 자원을 조직하고 묶는 단위가 도메인이라면 OU는 도메인 내에서 다시 자원들을 조직하고 나누는 단위라고 할 수 있다. 이러한 정책 적용은 개개인에게도 부여할 수 있지만 보통 OU 단위로 부여한다.
그룹 정책을 효과적으로 적용하기 위해서는 OU를 잘 설정하고 묶어주는 것이 중요하다.
대충 정리하자면
기업 환경에서 다수 사용자의 자원과 정보(아이디나 비밀번호 등)를 통합하여 관리하기 위해 사용하는 디렉터리 서비스로 사용자 인증 정보 뿐 아니라 그룹 정책에 대한 정보도 함께 저장할 수 있다.
AD 관련 용어
도메인(Domain)
AD에서 기본이 되는 관리 대상 단위로 AD가 설치된 윈도우 서버가 하나의 도메인으로 보면 된다. 여러 대가 존재하는 경우 부모와 자식으로 나뉜다. 관리를 하기위한 하나의 큰 단위의 범위를 표현하며, 관리를 위해서 지역적인 범위로 구분될 수 있다.트리(Tree), 포레스트(Forest)
트리는 도메인의 집합이고 포레스트는 트리의 집합이다. 물리적으로 존재하기 보다는 논리적인 개념이다.사이트(Site)
도메인과 트리가 물리적으로 구성된 환경이다. 사이트는 지리적으로 떨어져 있으며 IP 주소대가 다른다.트러스트(Trust)
도메인 또는 포레스트 사이 신뢰할 지 여부에 대한 관계를 의미한다. 트러스트 안 도메인 사이에는 상호 양방향 전이 트러스트를 갖기 때문에 도메인끼리 서로 신뢰한다.도메인 컨트롤러(Domain Controller)
로그인, 이용권한 확인, 사용자 등록, 암호 변경 등 처리하는 서버 컴퓨터이다. 액티브 디렉토리에서 도메인 서비스를 구현할 경우 도메인에 하나 이상의 DC를 설치해야 한다.글로벌 카탈로그(Global Catalog)
개체에 대한 정보(이름, 아이디, 비밀번호 등)를 수집하여 저장하는 통합 저장소조직단위(Organizational Unit)
도메인 내에서 자원들을 조작하고 나누는 단위로 권한 위임과 그룹 정책을 적용할 수 있는 최소한의 단위이다.
[위키백과] 액티브 디렉터리 https://ko.wikipedia.org/wiki/%EC%95%A1%ED%8B%B0%EB%B8%8C_%EB%94%94%EB%A0%89%ED%84%B0%EB%A6%AC
[이런 애저:티스토리] Active Directory란? (개념, 용도와 활용, 고려 사항등) https://mpain.tistory.com/153
[코딩하는 주노 이야기:티스토리] [Windows] AD (1) - AD(Active Directory)의 개념 https://co-no.tistory.com/30
[innoviss블로그] AD, Active Directory란? https://z-security.tistory.com/8