2016/02/07 - [MS솔루션/Active Directory] - AD 기초2 논리적구성단위

2016/02/07 - [MS솔루션/Active Directory] - AD 기초1 정의,핵심


물리적구성요소

 1. 도메인컨트롤러

윈도우서버 설치 후 DC로 Promotion 시키면 서버는 도메인컨트롤러로 승격된다.
그와 동시에 AD데이터베이스가 만들어지고, LDAP/커버로스 프로토콜을 이용한 
인증 및 허가 서비스를 하기 시작함. 기존 도메인컨트롤러서버가 있었다면,
복제도 같이 시작됨
AD를 설치한다 = 도메인컨트롤러를 만든다
2008AD는 RODC 가능

2. DNS

AD에 대한 도메인컨트롤러 정보에 대한 접근을 위한 기반 인프라 서비스임
AD 도메인이름 = DNS 도메인이름
AD는 DNS 쿼리결과가 없으면 전혀 찾을 수 없음


3. 글로벌카탈로그

도메인파티션에서 자주 찾을 수 있는 데이터의 별도 사본을 보관해놓는 곳
검색의 효율성을 위함
도메인 내 사용자가 로그온을 하기 위해 필요
스키마파티션 + 구성타피션 + 도메인파티션 + GC
사용자 1명이 만들어지면 도메인파티션에 모든 정보가 저장되고(전체 속성)
전체 속성에서 자주 사용하는(검색되는) 정보만 GC에 보관되는 개념임

4. AD 데이터저장소 = 도메인파티션
Ntds.dit파일로 이루어짐, SystemRoot%\NTDS폴더
도메인컨트롤러 프로세스와 프로토콜로만 접근이 가능함

5. AD복제

6. 사이트

IP서브넷과 연동, 즉 DC와 네트워크 개념이 반영되는 개념
복제 트래픽 관리(시간제한, 주기 등)
클라이언트 로그온 트래픽 관리
회사 위치별 모든 사용자나 컴퓨터에 그룹정책을 할당할 때 사용




'기술(MS,Web,Windows,AWS) > [MS]Active Directory' 카테고리의 다른 글

DNS 과정  (0) 2016.03.10
AD export to 엑셀  (0) 2016.03.10
AD Active Directory 핵심 정리  (0) 2016.03.10
AD 기초2 논리적구성단위  (0) 2016.02.07
AD 기초1 정의,핵심  (0) 2016.02.07


2016/02/07 - [MS솔루션/Active Directory] - AD 기초1 정의,핵심



 논리적구성단위

Object, Attributes, 클래스 : 객체지향 프로그래밍에서의 개념과 동일함

도메인 : 

개체들애 대한 정책을 반영할 수 있는 영역
DC간의 데이터복제에 대한 영역
자원 접근에 대한 범위
인증 및 허가가 가능한 바운더리(영역)
보안 바운더리

트러스트 : 
타 도메인 내 자원에 접근하고자 하는 경우
도메인간의 연결고리
쌍방 신뢰일 경우 : 직접 트러스트 (Direct)
두 도메인간 트러스트에 추가로 하위로 확장이 되는 경우 : 전이(Transitive)
도메인 트리

포리스트 : 
한개 이상의 도메인트리 묶음
일반스키마 공유
일반 구성파티션 공유
GC공유
포리스트 내 모든 DC간 트러스트 제공
Enterprise Admins, Schema Admins 그룹 공유

DC = 

스키마 + 구성파티션 + AD데이터 + 글로벌카탈로그(AD개체 중 검색용도로 따로 저장해놓은 정보들)
포리스트 내 DC서버 들은 스키마와 구성파티션 정보는 동일하고, AD데이터만 다른상태
즉, 같은 글로벌카탈로그 정보를 가지고 있는 AD서버들이면 같은 포리스트 내 DC서버들이다라는 뜻


OU
사용자를 묶을 수 있는 최소 구성단위
그룹정책을 반영할 수 있는 묶음


FSMO Flexible Single Master Operation
절대 출동되지 않아야 되는 부분이 있다, 동시에 수정할 수 없는 항목을 FSMO로 부름
즉, 서버 1대만 마스터를 담당할 수 있다.
스키마마스터 : 포리스트에서 1대
도메인명명마스터 : 포리스트에서 1대, 도메인의 구조를 담당

RID마스터 : SID발급 시 중복방지를 위해 넘버를 담당
인프라마스터 : 
PDC에뮬레이터 : 시간관리






'기술(MS,Web,Windows,AWS) > [MS]Active Directory' 카테고리의 다른 글

DNS 과정  (0) 2016.03.10
AD export to 엑셀  (0) 2016.03.10
AD Active Directory 핵심 정리  (0) 2016.03.10
AD 기초3 물리적구성요소  (0) 2016.02.07
AD 기초1 정의,핵심  (0) 2016.02.07


1. 정의

디렉터리 = 전화번호부
서버, 사용자, 그룹, 프린터, 공유폴더 등의 정보를 
하나의 전화번호부에 저장해놓고 
모든것을 개체처럼 사용
네트워크 내 사용자, 컴퓨터, 기타 자원에 대한 중앙관리시스템(일종의 데이터베이스)
중앙에서 관리할 수 있다
데이터베이스 즉, 필요한 정보의 확장이 가능하다.
계층화된 디렉터리
쿼리 검색 가능

SSO액세스
보안연동

2. 인증 authentication

내가 누구인지 증명하는 절차
네트워크 내 사용자 ID를 확인하는 프로세스
직접로그온 (로컬컴퓨터 자원에 대한 접근 허용)
네트워크로그온 (네트워크자원에 대한 접근 허용)

3. 허가(Authorization)

인증된 사용자가 특정작업에 대해서 수행이 가능한지(리소스에 대해 사용할 수 있는지 여부)를 확인하는 프로세스

개인 등 보안주체는 계정생성 시 발급된 SID(security identifiers)를 가지고 있음

인증 시 사용자의 SID와 소속그룹의 SID가  모두 포함된 "보안토큰"을 발급받음

AD에는 
네트워크 내 자원에 대한 접근이 가능한 사용자에 대한 ACL(Access Control Lists)를 가지고 있음

즉, 보안토큰과 자원의 DACL과 비교 후 접근 허가/거부 가 결정됨


4. 장점

사용자, 그룹에 대한 단일화된 관리도구 제공

네트워크 자원에 대한 대한 접근 할당 가능

모든 사용자 컴퓨터에 대한 보안정책 설정 가능

그룹정책을 통한 사용자 데스크탑, 보안관리

MS 어플리케이션의 기반 데이터베이스

(즉, 어플리케이션의 필수조건)


5. 구성요소

1) 물리적구성요소
데이터저장소
도메인컨트롤러
글로벌 카탈로그 서버
읽기전용도메인 컨트롤러

2) 논리적구성요소
파티션
스키마
도메인
도메인트리
포리스트
사이트
조직구성단위(OU)





내용추가

Active Directory는 디렉터리, 전화번호부 개념
사용자그룹컴퓨터,공유폴더프린터연락처조직구성단위(OU) 등의 다양한 정보를 Object(개체)로 저장할 수 있다
사용자 외에도 컴퓨터,공유폴더프린터 등까지 디렉터리에 포함하고 있다 이것은 관리자에게 상당한 편의성을 제공하는 기반이 된다.

AD의 장점은
1. 대다수 기업 컴퓨터 환경은 windows 기반임
2. Windows 기반위에서 관리자가 직원(사용자 )및 컴퓨터에 대한 효율적인 관리를 제공할 수 있는 기반을 제공하고
그 기반위에서 적절하게 사용할 수 있는 수많은 정책(Group Policy)들을 함께 제공함으로써 최상의 관리방안을 제시해준다.

정책(Group Policy) 을 잘 이용하면, 관리자의 해당부분의 업무부담을 상당부분 줄여줄 수 있다

예를들어 

-          사용자의 데스크탑 환경 설정

-          사용자의 데스크탑 제어 (Lock down)

-          레지스트리 수정

-          스크립트 자동 실행 (로그온로그오프시작종료)

-          보안설정

-          소프트웨어 관리 (설치업그레이드제한재설치복구삭제)











'기술(MS,Web,Windows,AWS) > [MS]Active Directory' 카테고리의 다른 글

DNS 과정  (0) 2016.03.10
AD export to 엑셀  (0) 2016.03.10
AD Active Directory 핵심 정리  (0) 2016.03.10
AD 기초3 물리적구성요소  (0) 2016.02.07
AD 기초2 논리적구성단위  (0) 2016.02.07

+ Recent posts

티스토리툴바