1. 정의
디렉터리 = 전화번호부
서버, 사용자, 그룹, 프린터, 공유폴더 등의 정보를
하나의 전화번호부에 저장해놓고
모든것을 개체처럼 사용
네트워크 내 사용자, 컴퓨터, 기타 자원에 대한 중앙관리시스템(일종의 데이터베이스)
중앙에서 관리할 수 있다
데이터베이스 즉, 필요한 정보의 확장이 가능하다.
계층화된 디렉터리
쿼리 검색 가능
SSO액세스
보안연동
2. 인증 authentication
내가 누구인지 증명하는 절차
네트워크 내 사용자 ID를 확인하는 프로세스
직접로그온 (로컬컴퓨터 자원에 대한 접근 허용)
네트워크로그온 (네트워크자원에 대한 접근 허용)
3. 허가(Authorization)
인증된 사용자가 특정작업에 대해서 수행이 가능한지(리소스에 대해 사용할 수 있는지 여부)를 확인하는 프로세스
개인 등 보안주체는 계정생성 시 발급된 SID(security identifiers)를 가지고 있음
인증 시 사용자의 SID와 소속그룹의 SID가 모두 포함된 "보안토큰"을 발급받음
AD에는
네트워크 내 자원에 대한 접근이 가능한 사용자에 대한 ACL(Access Control Lists)를 가지고 있음
즉, 보안토큰과 자원의 DACL과 비교 후 접근 허가/거부 가 결정됨
4. 장점
사용자, 그룹에 대한 단일화된 관리도구 제공
네트워크 자원에 대한 대한 접근 할당 가능
모든 사용자 컴퓨터에 대한 보안정책 설정 가능
그룹정책을 통한 사용자 데스크탑, 보안관리
MS 어플리케이션의 기반 데이터베이스
(즉, 어플리케이션의 필수조건)
5. 구성요소
1) 물리적구성요소
데이터저장소
도메인컨트롤러
글로벌 카탈로그 서버
읽기전용도메인 컨트롤러
2) 논리적구성요소
파티션
스키마
도메인
도메인트리
포리스트
사이트
조직구성단위(OU)
내용추가
Active Directory는 디렉터리, 전화번호부 개념
사용자, 그룹, 컴퓨터,공유폴더, 프린터, 연락처, 조직구성단위(OU) 등의 다양한 정보를 Object(개체)로 저장할 수 있다.
사용자 외에도 컴퓨터,공유폴더, 프린터 등까지 디렉터리에 포함하고 있다 이것은 관리자에게 상당한 편의성을 제공하는 기반이 된다.
AD의 장점은
1. 대다수 기업 컴퓨터 환경은 windows 기반임
2. Windows 기반위에서 관리자가 직원(사용자 )및 컴퓨터에 대한 효율적인 관리를 제공할 수 있는 기반을 제공하고,
그 기반위에서 적절하게 사용할 수 있는 수많은 정책(Group Policy)들을 함께 제공함으로써 최상의 관리방안을 제시해준다.
정책(Group Policy) 을 잘 이용하면, 관리자의 해당부분의 업무부담을 상당부분 줄여줄 수 있다.
예를들어
- 사용자의 데스크탑 환경 설정
- 사용자의 데스크탑 제어 (Lock down)
- 레지스트리 수정
- 스크립트 자동 실행 (로그온, 로그오프, 시작, 종료)
- 보안설정
- 소프트웨어 관리 (설치, 업그레이드, 제한, 재설치, 복구, 삭제)