Active Directory(AD)는 Microsoft가 개발한 디렉터리 서비스로, 기업·조직 내에서 **사용자, 컴퓨터, 그룹, 네트워크 리소스(프린터, 파일 서버 등)**를 중앙에서 관리하기 위한 인프라입니다. Windows Server 환경에서 핵심적인 역할을 하며, 인증(Authentication)과 권한 부여(Authorization), 정책 관리(Group Policy), 계정 관리 등을 담당합니다.

 

1. 기본 개념

  • 디렉터리 서비스(Directory Service)
    조직 내 자원(사용자, 장치, 서비스 등)을 계층 구조(Tree 구조)로 저장하고 검색할 수 있게 하는 시스템.
  • Active Directory는 이 디렉터리 서비스를 LDAP(Lightweight Directory Access Protocol) 기반으로 구현한 것.

2. AD의 주요 구성 요소

  1. 도메인(Domain)
    • AD 관리의 기본 단위.
    • 같은 데이터베이스(계정/리소스)를 공유하는 보안 경계.
    • 예: corp.example.com
  2. 도메인 컨트롤러(Domain Controller, DC)
    • AD 데이터베이스(NTDS.dit)를 저장하고 인증 및 요청을 처리하는 서버.
    • 모든 DC는 **다중 마스터 복제(Multi-Master Replication)**로 동기화됨.
  3. 포리스트(Forest)
    • 하나 이상의 도메인 집합.
    • 포리스트 내에서는 **트러스트(Trust)**를 통해 상호 인증 가능.
    • 포리스트는 **스키마(Schema)**와 **글로벌 카탈로그(Global Catalog)**를 공유.
  4. 트리(Tree)
    • 연속적인 네임스페이스를 가진 도메인들의 집합.
    • 예: corp.example.com, dev.corp.example.com
  5. OU(Organizational Unit)
    • 도메인 내의 계층적 컨테이너.
    • 사용자, 그룹, 컴퓨터 계정을 OU 단위로 묶어서 관리.
    • GPO를 OU 단위로 적용 가능.
  6. 그룹 정책(GPO: Group Policy Object)
    • 사용자와 컴퓨터 환경(로그인 스크립트, 바탕화면, 보안 정책 등)을 중앙에서 강제/배포.
  7. 계정
    • 사용자 계정: 로그인, 인증, 리소스 접근 제어.
    • 컴퓨터 계정: AD에 가입된 PC/서버.
    • 그룹 계정: 여러 사용자/컴퓨터를 묶어 권한 관리.

3. 핵심 기능

  • 중앙 집중 인증 (SSO 기반)
    • Kerberos v5 및 NTLM 프로토콜 사용.
    • 사용자는 한 번 로그인하면 포리스트 내의 여러 리소스를 다시 로그인하지 않고 접근 가능(SSO).
  • 권한 부여(Authorization)
    • ACL(Access Control List) 기반으로 개체별 권한 설정.
  • 정책 관리
    • 보안 정책, 소프트웨어 설치, 환경 설정을 GPO로 중앙 관리.
  • 디렉터리 조회
    • LDAP 기반 검색 가능 (예: 특정 부서의 사용자 목록).

4. 기술적 요소

  • LDAP (389/tcp): 디렉터리 쿼리 및 관리.
  • Kerberos (88/tcp): 기본 인증 프로토콜.
  • Global Catalog (3268/tcp): 포리스트 내 모든 객체의 부분 집합을 보관, 검색 속도 향상.
  • DNS 연계: 도메인 컨트롤러 탐색에 필수. AD는 DNS 기반 네임스페이스를 사용.
  • FSMO(Role): 다중 마스터 복제에도 불구하고 특정 역할은 단일 서버만 담당 (Schema Master, Domain Naming Master, RID Master, PDC Emulator, Infrastructure Master).

5. 보안 및 관리

  • 비밀번호 정책: 최소 길이, 복잡성, 만료 주기.
  • 계정 잠금 정책: 일정 횟수 로그인 실패 시 계정 잠금.
  • 트러스트 관계: 외부 조직과 협력 시 다른 포리스트/도메인과 트러스트 연결.
  • 감사(Auditing): 로그인 이벤트, 객체 변경 내역 추적.

6. 장점

  • 중앙 집중 관리 → 운영 비용 절감.
  • 사용자 경험 향상 → SSO 제공.
  • 확장성 → 대규모 조직에서도 트리/포리스트 구조로 확장 가능.
  • 보안 강화 → Kerberos 기반 인증, 정책 일괄 적용.

7. 한계

  • Windows Server 의존성.
  • 구축·운영 복잡성 (DNS, 복제, FSMO 역할 관리 필요).
  • 하나의 포리스트 장애 → 전사 영향.
  • 클라우드 환경 확산으로, 최근에는 **Azure Active Directory(Azure AD, 현재는 Entra ID)**로 확장.

'소프트웨어 > 상식' 카테고리의 다른 글

SSML : Speech Synthesis Markup Language  (0) 2025.10.19
Npcap : 윈도우용 패킷 캡처 라이브러리  (0) 2025.09.22
MQTT : 경량 게시-구독(Publish-Subscribe) 메시징 프로토콜  (0) 2025.09.20
RabbitMQ : 오픈소스 메시지 브로커  (0) 2025.09.20
Apache Kafka  (1) 2025.09.20

+ Recent posts

티스토리툴바