모든 사용자 출판물을 활성화하십시오. Active Directory 모범 사례. Active Directory의 데이터 복제

어떻게 도움이 될까요? 액티브 디렉토리전문가?

다음은 Active Directory를 배포하여 얻을 수 있는 "혜택"의 작은 목록입니다.

  • 하나 이상의 서버에 중앙 집중식으로 저장되는 단일 사용자 등록 데이터베이스; 따라서 사무실에 새 직원이 나타나면 서버에 해당 직원의 계정을 만들고 그가 액세스할 수 있는 워크스테이션을 지정하기만 하면 됩니다.
  • 모든 도메인 리소스가 색인화되어 있으므로 사용자가 쉽고 빠르게 검색할 수 있습니다. 예를 들어, 부서에서 컬러 프린터를 찾아야 하는 경우;
  • NTFS 권한 적용, 그룹 정책 및 제어 위임을 결합하면 도메인 구성원 간에 권한을 미세 조정하고 배포할 수 있습니다.
  • 로밍 사용자 프로필을 사용하면 중요한 정보와 구성 설정을 서버에 저장할 수 있습니다. 실제로 도메인에 로밍 프로필이 있는 사용자가 다른 컴퓨터에서 작업하기 위해 자리에 앉아 자신의 사용자 이름과 비밀번호를 입력하면 익숙한 설정이 적용된 데스크탑이 표시됩니다.
  • 그룹 정책을 사용하면 사용자가 바탕 화면에 배경 화면을 설정할 수 있도록 허용하는 것부터 보안 설정까지 사용자 운영 체제의 설정을 변경할 수 있으며, 볼륨 섀도 복사본 클라이언트 등과 같은 소프트웨어를 네트워크를 통해 배포할 수도 있습니다.
  • 현재 Microsoft에서 생산하는 많은 프로그램(프록시 서버, 데이터베이스 서버 등)은 도메인 인증을 사용하는 방법을 학습했기 때문에 다른 사용자 데이터베이스를 만들 필요 없이 기존 데이터베이스를 사용할 수 있습니다.
  • 원격 설치 서비스를 사용하면 워크스테이션에 시스템을 쉽게 설치할 수 있지만 디렉터리 서비스가 구현된 경우에만 작동합니다.

그리고 이것은 가능성의 전체 목록은 아니지만 이에 대해서는 나중에 자세히 설명합니다. 이제 구성의 논리를 알려 드리겠습니다. 액티브 디렉토리하지만 다시 한 번 우리 아들이 무엇인지 알아볼 가치가 있습니다. 액티브 디렉토리- 도메인, 트리, 포리스트, 조직 단위, 사용자 및 컴퓨터 그룹이 있습니다.

도메인 -이것이 구성의 기본 논리 단위입니다. 작업 그룹과 비교 AD 도메인단일 등록 기반을 갖는 보안 그룹인 반면, 작업 그룹은 시스템의 논리적 연결일 뿐입니다. AD는 이전 버전의 NT에서와 마찬가지로 WINS(Windows Internet Name Service) 대신 DNS(Domain Name Server)를 이름 지정 및 검색 서비스에 사용합니다. 따라서 도메인에 있는 컴퓨터의 이름은 예를 들어 buh.work.com과 같습니다. 여기서 buh는 work.com 도메인에 있는 컴퓨터의 이름입니다(항상 그런 것은 아닙니다).

작업 그룹은 NetBIOS 이름을 사용합니다. 도메인 구조를 호스팅하려면 기원 후 Microsoft가 아닌 DNS 서버를 사용할 수도 있습니다. 하지만 BIND 8.1.2 이상과 호환되어야 하며 SRV() 레코드와 동적 등록 프로토콜(RFC 2136)을 지원해야 합니다. 모든 도메인에는 중앙 데이터베이스를 호스팅하는 도메인 컨트롤러가 하나 이상 있습니다.

나무 -이는 다중 도메인 구조입니다. 이 구조의 루트는 하위 도메인을 생성하는 기본 도메인입니다. 실제로 Active Directory는 DNS의 도메인 구조와 유사한 계층 구조를 사용합니다.

work.com(1차 수준 도메인) 도메인이 있고 이에 대해 두 개의 하위 도메인인 first.work.com 및 second.work.com을 생성하는 경우(여기서 첫 번째와 두 번째는 두 번째 수준 도메인이며 도메인의 컴퓨터는 아닙니다) , 위에서 설명한 경우와 마찬가지로 도메인 트리로 끝납니다.

논리적 구조로서의 트리는 예를 들어 지리 또는 기타 조직적 이유로 회사의 지점을 나누어야 할 때 사용됩니다.

기원 후각 도메인과 해당 하위 도메인 간의 신뢰 관계를 자동으로 생성하는 데 도움이 됩니다.

따라서 first.work.com 도메인을 생성하면 상위 work.com과 하위 first.work.com(second.work.com의 경우와 유사) 간의 양방향 신뢰 관계가 자동으로 설정됩니다. 따라서 상위 도메인에서 하위 도메인으로 권한을 적용할 수 있으며 그 반대의 경우도 마찬가지입니다. 하위 도메인에도 신뢰 관계가 존재할 것이라고 가정하는 것은 어렵지 않습니다.

신뢰 관계의 또 다른 속성은 전이성입니다. net.first.work.com 도메인과 work.com 도메인에 대한 신뢰 관계가 생성되었음을 알 수 있습니다.

숲 -트리와 마찬가지로 다중 도메인 구조입니다. 하지만 서로 다른 루트 도메인을 가진 트리의 결합입니다.

work.com 및 home.net이라는 이름의 여러 도메인을 갖고 해당 도메인에 대한 하위 도메인을 생성하기로 결정했지만 tld(최상위 도메인)가 사용자의 통제하에 있지 않기 때문에 이 경우 다음 중 하나를 선택하여 포리스트를 구성할 수 있다고 가정합니다. 첫 번째 수준 루트 도메인. 이 경우 포리스트 만들기의 장점은 두 도메인과 해당 하위 도메인 간의 양방향 신뢰 관계입니다.

그러나 숲과 나무를 다룰 때는 다음 사항을 기억해야 합니다.

  • 기존 도메인을 트리에 추가할 수 없습니다.
  • 포리스트에 기존 트리를 포함할 수 없습니다.
  • 도메인이 포리스트에 배치되면 다른 포리스트로 이동할 수 없습니다.
  • 하위 도메인이 있는 도메인은 삭제할 수 없습니다.

조직 단위 -원칙적으로는 하위 도메인이라고 부를 수 있습니다. 도메인에서 사용자 계정, 사용자 그룹, 컴퓨터, 공유 리소스, 프린터 및 기타 OU(조직 단위)를 그룹화할 수 있습니다. 이를 사용하면 이러한 단위를 관리하는 권한을 위임할 수 있다는 실질적인 이점이 있습니다.

간단히 말해서, OU를 관리할 수 있지만 전체 도메인을 관리할 권한은 없는 관리자를 도메인에 지정할 수 있습니다.

그룹과 달리 OU의 중요한 기능은 그룹 정책을 OU에 적용하는 기능입니다. "OU를 사용하는 대신 원래 도메인을 여러 도메인으로 분할할 수 없는 이유는 무엇입니까?" - 물어.

많은 전문가들은 가능하면 하나의 도메인을 보유할 것을 권장합니다. 그 이유는 추가 도메인을 생성할 때 관리가 분산되기 때문입니다. 각 도메인의 관리자는 무제한 제어권을 갖기 때문입니다(OU 관리자에게 권한을 위임할 때 해당 기능을 제한할 수 있음을 상기시켜 드립니다).

이 외에도 새 도메인(하위 도메인 포함)을 생성하려면 다른 컨트롤러가 필요합니다. 느린 통신 채널로 연결된 두 개의 별도 부서가 있는 경우 복제 문제가 발생할 수 있습니다. 이 경우 도메인을 두 개 갖는 것이 더 적절할 것입니다.

그룹 정책 사용에는 또 다른 미묘한 차이가 있습니다. 즉, 암호 설정 및 계정 잠금을 정의하는 정책은 도메인에만 적용될 수 있습니다. OU의 경우 이러한 정책 설정이 무시됩니다.

웹사이트 -이는 디렉터리 서비스를 물리적으로 분리하는 방법입니다. 정의에 따르면 사이트는 빠른 데이터 전송 채널로 연결된 컴퓨터 그룹입니다.

전국 여러 지역에 저속 통신 회선으로 연결된 여러 지점이 있는 경우 각 지점에 대해 자신만의 웹사이트를 만들 수 있습니다. 이는 디렉터리 복제의 신뢰성을 높이기 위해 수행됩니다.

이러한 AD 분할은 논리적 구성 원칙에 영향을 주지 않습니다. 따라서 사이트가 여러 도메인을 포함할 수 있고 그 반대의 경우에도 도메인이 여러 사이트를 포함할 수 있는 것과 같습니다. 그러나 이 디렉터리 서비스 토폴로지에는 문제점이 있습니다. 일반적으로 인터넷은 매우 안전하지 않은 환경인 지점과 통신하는 데 사용됩니다. 많은 회사에서는 방화벽과 같은 보안 조치를 사용합니다. 디렉터리 서비스는 해당 작업에 약 15개의 포트와 서비스를 사용하며, 방화벽을 통과하는 AD 트래픽이 이를 열면 실제로 "외부"에 노출됩니다. 문제에 대한 해결책은 터널링 기술을 사용하고 각 사이트에 도메인 컨트롤러를 사용하여 AD 클라이언트 요청 처리 속도를 높이는 것입니다.

디렉터리 서비스 구성 요소의 중첩 논리가 제시됩니다. 포리스트에는 두 개의 도메인 트리가 포함되어 있으며, 트리의 루트 도메인에는 OU와 개체 그룹이 포함될 수 있고 하위 도메인(이 경우 각각 하나씩)도 있을 수 있습니다. 하위 도메인에는 개체 그룹과 OU도 포함될 수 있으며 하위 도메인도 있을 수 있습니다(그림에는 표시되지 않음). 등등. OU에는 OU, 개체 및 개체 그룹이 포함될 수 있고, 그룹에는 다른 그룹이 포함될 수 있다는 점을 상기시켜 드리겠습니다.

사용자 및 컴퓨터 그룹 -관리 목적으로 사용되며 네트워크의 로컬 시스템에서 사용될 때와 동일한 의미를 갖습니다. OU와 달리 그룹 정책은 그룹에 적용할 수 없지만 관리는 위임할 수 있습니다. Active Directory 구성표에는 보안 그룹(네트워크 개체에 대한 액세스 권한을 차별화하는 데 사용됨)과 배포 그룹(예를 들어 Microsoft Exchange Server에서 전자 메일 메시지를 배포하는 데 주로 사용됨)이라는 두 가지 유형의 그룹이 있습니다.

범위에 따라 구분됩니다.

  • 유니버설 그룹포리스트 내의 사용자는 물론 포리스트에 있는 도메인의 다른 유니버설 그룹이나 글로벌 그룹도 포함될 수 있습니다.
  • 글로벌 도메인 그룹도메인 사용자 및 동일한 도메인의 다른 글로벌 그룹이 포함될 수 있습니다.
  • 도메인 로컬 그룹액세스 권한을 차별화하는 데 사용되며 도메인 사용자는 물론 포리스트에 있는 모든 도메인의 유니버설 그룹 및 글로벌 그룹을 포함할 수 있습니다.
  • 로컬 컴퓨터 그룹– 로컬 시스템의 SAM(보안 계정 관리자)을 포함하는 그룹입니다. 해당 범위는 지정된 시스템으로만 제한되지만 컴퓨터가 있는 도메인의 로컬 그룹은 물론 자체 도메인이나 신뢰하는 다른 도메인의 유니버설 및 글로벌 그룹도 포함될 수 있습니다. 예를 들어 도메인 로컬 사용자 그룹의 사용자를 로컬 컴퓨터의 관리자 그룹에 포함시켜 해당 사용자에게 관리자 권한을 부여할 수 있지만 이 컴퓨터에 대해서만 가능합니다.

Active Directory는 Windows NT 운영 체제 제품군을 위한 Microsoft 디렉터리 서비스입니다.

이 서비스를 통해 관리자는 그룹 정책을 사용하여 사용자 작업 환경 설정, 소프트웨어 설치, 업데이트 등의 통일성을 보장할 수 있습니다.

Active Directory의 본질은 무엇이며 어떤 문제를 해결합니까? 읽어.

P2P 및 다중 피어 네트워크 구성 원칙

그러나 또 다른 문제가 발생합니다. PC2의 user2가 자신의 비밀번호를 변경하기로 결정하면 어떻게 될까요? 그런 다음 user1이 계정 비밀번호를 변경하면 PC1의 user2는 리소스에 액세스할 수 없습니다.

또 다른 예: 특정 .

만약 20개가 아니라 200개라면 어떨까요?

아시다시피, 이 접근 방식을 사용한 네트워크 관리는 절대적인 지옥으로 변합니다.

따라서 작업 그룹 접근 방식은 PC가 10대 이하인 소규모 사무실 네트워크에 적합합니다.

네트워크에 10개 이상의 워크스테이션이 있는 경우 하나의 네트워크 노드에 인증 및 권한 부여 수행 권한을 위임하는 방식이 합리적으로 정당합니다.

이 노드는 도메인 컨트롤러(Active Directory)입니다.

도메인 컨트롤러

컨트롤러는 계정 데이터베이스를 저장합니다. PC1과 PC2 모두에 대한 계정을 저장합니다.

이제 모든 계정은 컨트롤러에 한 번만 등록되므로 로컬 계정이 필요 없게 됩니다.

이제 사용자가 사용자 이름과 비밀번호를 입력하여 PC에 로그인하면 이 데이터는 인증 및 권한 부여 절차를 수행하는 도메인 컨트롤러에 비공개 형식으로 전송됩니다.

그 후 컨트롤러는 로그인한 사용자에게 여권과 같은 것을 발급하며, 이후에 네트워크에서 작업하고 다른 네트워크 컴퓨터의 요청에 따라 이를 제시하고 리소스에 연결하려는 서버를 제공합니다.

중요한! 도메인 컨트롤러는 네트워크 리소스에 대한 사용자 액세스를 제어하는 ​​Active Directory를 실행하는 컴퓨터입니다. 리소스(예: 프린터, 공유 폴더), 서비스(예: 이메일), 사람(사용자 및 사용자 그룹 계정), 컴퓨터(컴퓨터 계정)를 저장합니다.

이렇게 저장된 리소스의 수는 수백만 개의 개체에 달할 수 있습니다.

다음 버전의 MS Windows가 도메인 컨트롤러 역할을 할 수 있습니다: Windows Server 2000/2003/2008/2012(Web-Edition 제외).

도메인 컨트롤러는 네트워크의 인증 센터일 뿐만 ​​아니라 모든 컴퓨터의 제어 센터이기도 합니다.

컴퓨터를 켜자마자 인증 창이 나타나기 오래 전에 도메인 컨트롤러에 연결하기 시작합니다.

따라서 로그인 및 비밀번호를 입력하는 사용자뿐만 아니라 클라이언트 컴퓨터도 인증됩니다.

Active Directory 설치

Windows Server 2008 R2에 Active Directory를 설치하는 예를 살펴보겠습니다. 따라서 Active Directory 역할을 설치하려면 "서버 관리자"로 이동하세요.

"역할 추가" 역할을 추가합니다.

Active Directory 도메인 서비스 역할을 선택합니다.

설치를 시작해 보겠습니다.

그러면 설치된 역할에 대한 알림 창이 나타납니다.

도메인 컨트롤러 역할을 설치한 후 컨트롤러 자체 설치를 진행해 보겠습니다.

프로그램 검색 필드에서 "시작"을 클릭하고 DCPromo 마법사의 이름을 입력한 후 실행하고 고급 설치 설정 상자를 선택합니다.

“다음”을 클릭하고 제공된 옵션에서 새 도메인과 포리스트를 생성하도록 선택하세요.

example.net과 같은 도메인 이름을 입력합니다.

영역 없이 NetBIOS 도메인 이름을 작성합니다.

도메인의 기능 수준을 선택하세요.

도메인 컨트롤러 기능의 특성으로 인해 DNS 서버도 설치합니다.

데이터베이스, 로그 파일 및 시스템 볼륨의 위치는 변경되지 않은 상태로 유지됩니다.

도메인 관리자 비밀번호를 입력하세요:

채우기의 정확성을 확인하고 모든 것이 정상이면 "다음"을 클릭하십시오.

그런 다음 설치 프로세스가 시작되고 마지막에 설치가 성공했음을 알리는 창이 나타납니다.

Active Directory 소개

보고서에서는 Microsoft 운영 체제를 사용하여 생성할 수 있는 두 가지 유형의 컴퓨터 네트워크인 작업 그룹과 Active Directory 도메인에 대해 설명합니다.

Active Directory는 시스템 관리 서비스를 제공합니다. 로컬 그룹에 대한 훨씬 더 나은 대안이며 효율적인 관리와 안정적인 데이터 보호를 갖춘 컴퓨터 네트워크를 만들 수 있습니다.

이전에 Active Directory 개념을 접한 적이 없고 이러한 서비스가 어떻게 작동하는지 모르는 경우 이 문서가 도움이 됩니다. 이 개념이 무엇을 의미하는지, 그러한 데이터베이스의 장점은 무엇인지, 초기 사용을 위해 데이터베이스를 생성하고 구성하는 방법을 알아 보겠습니다.

Active Directory는 매우 편리한 시스템 관리 방법입니다. Active Directory를 사용하면 데이터를 효과적으로 관리할 수 있습니다.

이러한 서비스를 사용하면 도메인 컨트롤러가 관리하는 단일 데이터베이스를 만들 수 있습니다. 사업체를 소유하거나, 사무실을 관리하거나, 일반적으로 통합이 필요한 많은 사람들의 활동을 통제하는 경우 이러한 도메인이 유용할 것입니다.

여기에는 컴퓨터, 프린터, 팩스, 사용자 계정 등 모든 개체가 포함됩니다. 데이터가 위치한 도메인의 총합을 '포리스트'라고 합니다. Active Directory 데이터베이스는 개체 수가 최대 20억 개에 이를 수 있는 도메인 환경입니다. 이 비늘을 상상할 수 있습니까?

즉, 이러한 "포리스트" 또는 데이터베이스의 도움으로 사무실에 있는 많은 직원과 장비를 위치에 얽매이지 않고 연결할 수 있습니다. 예를 들어, 다른 사용자도 서비스에 연결할 수 있습니다. 다른 도시의 회사 사무실에서.

또한 Active Directory 서비스 프레임워크 내에서 여러 도메인이 생성되고 결합됩니다. 회사 규모가 클수록 데이터베이스 내에서 장비를 제어하는 ​​데 더 많은 도구가 필요합니다.

또한 이러한 네트워크가 생성되면 하나의 제어 도메인이 결정되고 이후에 다른 도메인이 있어도 원래 도메인은 여전히 ​​"부모"로 유지됩니다. 즉, 해당 네트워크만 정보 관리에 대한 전체 액세스 권한을 갖습니다.

이 데이터는 어디에 저장되며 도메인의 존재를 보장하는 것은 무엇입니까? Active Directory를 생성하려면 컨트롤러가 사용됩니다. 일반적으로 두 가지가 있습니다. 하나에 문제가 발생하면 정보가 두 번째 컨트롤러에 저장됩니다.

데이터베이스를 사용하는 또 다른 옵션은 예를 들어 회사가 다른 회사와 협력하고 공통 프로젝트를 완료해야 하는 경우입니다. 이 경우 승인되지 않은 사람이 도메인 파일에 액세스해야 할 수 있으며 여기서 두 개의 서로 다른 "포리스트" 간에 일종의 "관계"를 설정하여 나머지 데이터의 보안을 위협하지 않고 필요한 정보에 액세스할 수 있습니다.

일반적으로 Active Directory는 크기에 관계없이 특정 구조 내에서 데이터베이스를 생성하는 도구입니다. 사용자와 모든 장비는 하나의 "포리스트"로 통합되고 도메인이 생성되어 컨트롤러에 배치됩니다.

또한 서비스는 Windows 서버 시스템이 있는 장치에서만 작동할 수 있다는 점을 명확히 하는 것이 좋습니다. 또한 컨트롤러에는 3~4개의 DNS 서버가 생성됩니다. 이들은 도메인의 기본 영역을 담당하며, 그 중 하나에 장애가 발생하면 다른 서버가 이를 대체합니다.

초보자를 위한 Active Directory에 대한 간략한 개요를 살펴본 후에는 자연스럽게 전체 데이터베이스에 대해 로컬 그룹을 변경하는 이유에 대한 질문에 관심을 가지게 됩니다. 당연히 여기서 가능성의 범위는 몇 배 더 넓습니다. 시스템 관리를 위한 이러한 서비스 간의 다른 차이점을 알아보기 위해 해당 서비스의 장점을 자세히 살펴보겠습니다.

Active Directory의 이점

Active Directory의 장점은 다음과 같습니다.

  1. 인증을 위해 단일 리소스를 사용합니다. 이 상황에서는 일반 정보에 액세스해야 하는 모든 계정을 각 PC에 추가해야 합니다. 사용자와 장비가 많을수록 이들 간에 데이터를 동기화하는 것이 더 어려워집니다.

따라서 데이터베이스와 함께 서비스를 사용하면 계정이 한 지점에 저장되고 변경 사항은 모든 컴퓨터에 즉시 적용됩니다.

어떻게 작동하나요? 사무실에 오는 각 직원은 시스템을 실행하고 자신의 계정에 로그인합니다. 로그인 요청은 자동으로 서버에 제출되고 이를 통해 인증이 이루어집니다.

기록 보관의 특정 순서에 관해서는 언제든지 사용자를 "HR 부서" 또는 "회계" 그룹으로 나눌 수 있습니다.

이 경우 정보에 대한 액세스를 제공하는 것이 훨씬 더 쉽습니다. 한 부서의 직원을 위해 폴더를 열어야 하는 경우 데이터베이스를 통해 이를 수행합니다. 그들은 함께 데이터가 있는 필수 폴더에 액세스할 수 있지만 다른 사람들의 경우 문서는 닫힌 상태로 유지됩니다.

  1. 각 데이터베이스 참가자를 제어합니다.

로컬 그룹의 각 구성원이 독립적이고 다른 컴퓨터에서 제어하기 어려운 경우 도메인에서 회사 정책을 준수하는 특정 규칙을 설정할 수 있습니다.

시스템 관리자는 접근 설정 및 보안 설정을 지정하고 이를 각 사용자 그룹에 적용할 수 있습니다. 당연히 계층 구조에 따라 일부 그룹에는 더 엄격한 설정이 부여될 수 있고 다른 그룹에는 시스템의 다른 파일 및 작업에 대한 액세스 권한이 부여될 수 있습니다.

또한 새로운 사람이 회사에 합류하면 그의 컴퓨터는 작업 구성 요소를 포함하여 필요한 설정 세트를 즉시 받게 됩니다.

  1. 소프트웨어 설치의 다양성.

구성 요소에 대해 말하면 Active Directory를 사용하면 프린터를 할당하고 모든 직원에게 필요한 프로그램을 한 번에 설치하고 개인 정보 보호 설정을 지정할 수 있습니다. 일반적으로 데이터베이스를 생성하면 작업을 크게 최적화하고 보안을 모니터링하며 사용자를 통합하여 작업 효율성을 극대화합니다.

그리고 기업이 별도의 유틸리티나 특수 서비스를 운영하는 경우 도메인과 동기화하여 액세스를 단순화할 수 있습니다. 어떻게? 회사에서 사용되는 모든 제품을 결합하면 직원은 각 프로그램에 들어가기 위해 서로 다른 로그인 및 비밀번호를 입력할 필요가 없습니다. 이 정보는 공통됩니다.

이제 Active Directory 사용의 이점과 의미가 명확해졌으므로 이러한 서비스를 설치하는 과정을 살펴보겠습니다.

우리는 Windows Server 2012에서 데이터베이스를 사용합니다.

Active Directory 설치 및 구성은 어려운 작업이 아니며 언뜻 보기보다 쉽습니다.

서비스를 로드하려면 먼저 다음을 수행해야 합니다.

  1. 컴퓨터 이름 변경: "시작"을 클릭하고 제어판을 열고 "시스템"을 선택합니다. "설정 변경"을 선택하고 속성에서 "컴퓨터 이름" 줄 반대편에 있는 "변경"을 클릭하고 기본 PC에 대한 새 값을 입력합니다.
  2. 필요에 따라 PC를 재부팅하십시오.
  3. 다음과 같이 네트워크 설정을 지정하십시오.
    • 제어판을 통해 네트워크 및 공유 메뉴를 엽니다.
    • 어댑터 설정을 조정합니다. "속성"을 마우스 오른쪽 버튼으로 클릭하고 "네트워크" 탭을 엽니다.
    • 목록 창에서 인터넷 프로토콜 번호 4를 클릭하고 "속성"을 다시 클릭합니다.
    • 필수 설정을 입력합니다(예: IP 주소 - 192.168.10.252, 서브넷 마스크 - 255.255.255.0, 기본 게이트웨이 - 192.168.10.1).
    • "선호하는 DNS 서버" 줄에서 "대체..." - 다른 DNS 서버 주소에 로컬 서버의 주소를 지정합니다.
    • 변경 사항을 저장하고 창을 닫습니다.

다음과 같이 Active Directory 역할을 설정합니다.

  1. 시작을 통해 서버 관리자를 엽니다.
  2. 메뉴에서 역할 및 기능 추가를 선택합니다.
  3. 마법사가 시작되지만 설명이 있는 첫 번째 창을 건너뛸 수 있습니다.
  4. "역할 및 구성 요소 설치"행을 확인하고 계속 진행하십시오.
  5. Active Directory를 설치할 컴퓨터를 선택하세요.
  6. 목록에서 로드해야 하는 역할을 선택합니다. 귀하의 경우에는 "Active Directory 도메인 서비스"입니다.
  7. 서비스에 필요한 구성 요소를 다운로드하라는 작은 창이 나타나면 수락하세요.
  8. 그런 다음 다른 구성 요소를 설치하라는 메시지가 표시됩니다. 필요하지 않은 경우 "다음"을 클릭하여 이 단계를 건너뛰세요.
  9. 설치 마법사는 설치 중인 서비스에 대한 설명이 포함된 창을 표시합니다. 읽고 계속 진행하세요.
  10. 설치할 구성 요소 목록이 나타납니다. 모든 것이 올바른지 확인하고 그렇다면 해당 버튼을 누르십시오.
  11. 프로세스가 완료되면 창을 닫습니다.
  12. 그게 다입니다. 서비스가 컴퓨터에 다운로드됩니다.

Active Directory 설정

도메인 서비스를 구성하려면 다음을 수행해야 합니다.

  • 동일한 이름의 설정 마법사를 시작합니다.
  • 창 상단의 노란색 포인터를 클릭하고 "서버를 도메인 컨트롤러로 승격"을 선택합니다.
  • 새 포리스트 추가를 클릭하고 루트 도메인의 이름을 만든 후 다음을 클릭합니다.
  • "포리스트"와 도메인의 작동 모드를 지정합니다. 대부분 일치합니다.
  • 비밀번호를 만드세요. 하지만 꼭 기억해 두세요. 계속하세요.
  • 그런 다음 도메인이 위임되지 않았다는 경고와 도메인 이름을 확인하라는 메시지가 표시될 수 있습니다. 이 단계를 건너뛸 수 있습니다.
  • 다음 창에서 데이터베이스 디렉터리의 경로를 변경할 수 있습니다. 적합하지 않은 경우 이 작업을 수행하십시오.
  • 이제 설정하려는 모든 옵션이 표시됩니다. 해당 옵션을 올바르게 선택했는지 확인하고 계속 진행하세요.
  • 응용 프로그램은 전제 조건이 충족되었는지 확인하고 설명이 없거나 중요하지 않은 경우 "설치"를 클릭합니다.
  • 설치가 완료되면 PC가 자동으로 재부팅됩니다.

데이터베이스에 사용자를 추가하는 방법이 궁금할 수도 있습니다. 이렇게 하려면 제어판의 "관리" 섹션에 있는 "Active Directory 사용자 또는 컴퓨터" 메뉴를 사용하거나 데이터베이스 설정 메뉴를 사용하십시오.

새 사용자를 추가하려면 도메인 이름을 마우스 오른쪽 버튼으로 클릭하고 "만들기"를 선택한 다음 "부서"를 선택합니다. 새 부서의 이름을 입력해야 하는 창이 앞에 나타납니다. 이는 다른 부서의 사용자를 수집할 수 있는 폴더 역할을 합니다. 같은 방법으로 나중에 여러 부서를 더 만들고 모든 직원을 올바르게 배치하게 됩니다.

다음으로, 부서 이름을 만들었으면 해당 부서 이름을 마우스 오른쪽 버튼으로 클릭하고 "만들기"를 선택한 다음 "사용자"를 선택합니다. 이제 남은 것은 필요한 데이터를 입력하고 사용자에 대한 액세스 설정을 지정하는 것입니다.

새 프로필이 생성되면 상황에 맞는 메뉴를 선택하여 프로필을 클릭하고 "속성"을 엽니다. '계정' 탭에서 '차단...' 옆의 확인란을 제거하세요. 그게 다야.

일반적인 결론은 Active Directory가 모든 직원 컴퓨터를 하나의 팀으로 통합하는 데 도움이 되는 강력하고 유용한 시스템 관리 도구라는 것입니다. 서비스를 사용하면 보안 데이터베이스를 생성하고 모든 사용자 간의 작업 및 정보 동기화를 크게 최적화할 수 있습니다. 귀하의 회사 또는 기타 사업장이 전자 컴퓨터 및 네트워크에 연결되어 있어 계정을 통합하고 업무 및 기밀성을 모니터링해야 하는 경우 Active Directory 기반 데이터베이스를 설치하는 것이 탁월한 솔루션이 될 것입니다.

AD라는 약어를 접한 초보 사용자는 Active Directory가 무엇인지 궁금해합니까? Active Directory는 Windows 도메인 네트워크용으로 Microsoft에서 개발한 디렉터리 서비스입니다. 대부분의 Windows Server 운영 체제에 프로세스 및 서비스 집합으로 포함됩니다. 처음에는 이 서비스가 도메인만 다루었습니다. 그러나 Windows Server 2008부터 AD는 광범위한 디렉터리 기반 ID 서비스의 이름이 되었습니다. 이는 초보자를 위한 Active Directory를 더 나은 학습 환경으로 만듭니다.

기본 정의

Active Directory 도메인 디렉터리 서비스를 실행하는 서버를 도메인 컨트롤러라고 합니다. Windows 네트워크 도메인의 모든 사용자와 컴퓨터를 인증 및 권한 부여하고, 모든 PC에 대한 보안 정책을 할당 및 시행하며, 소프트웨어를 설치 또는 업데이트합니다. 예를 들어 사용자가 Windows 도메인에 가입된 컴퓨터에 로그온하면 Active Directory는 제공된 비밀번호를 확인하고 주체가 시스템 관리자인지 일반 사용자인지 확인합니다. 또한 정보 관리 및 저장을 활성화하고 인증 및 권한 부여 메커니즘을 제공하며 인증서 서비스, 통합 및 경량 디렉터리 서비스, 권한 관리 등 기타 관련 서비스 배포를 위한 프레임워크를 설정합니다.

Active Directory는 LDAP 버전 2 및 3, Microsoft의 Kerberos 버전 및 DNS를 사용합니다.

액티브 디렉토리 - 그게 뭐죠? 단지에 대한 간단한 말로

네트워크 데이터를 모니터링하는 것은 시간이 많이 걸리는 작업입니다. 소규모 네트워크에서도 사용자는 일반적으로 네트워크 파일과 프린터를 찾는 데 어려움을 겪습니다. 어떤 종류의 디렉토리가 없으면 중대형 네트워크를 관리할 수 없으며 리소스를 찾는 데 어려움을 겪는 경우가 많습니다.

이전 버전의 Microsoft Windows에는 사용자와 관리자가 정보를 찾는 데 도움이 되는 서비스가 포함되었습니다. 네트워크 환경은 많은 환경에서 유용하지만 명백한 단점은 투박한 인터페이스와 예측 불가능성입니다. WINS 관리자와 서버 관리자를 사용하여 시스템 목록을 볼 수 있지만 최종 사용자는 사용할 수 없었습니다. 관리자는 사용자 관리자를 사용하여 완전히 다른 유형의 네트워크 개체에서 데이터를 추가하고 제거했습니다. 이러한 응용 프로그램은 대규모 네트워크에 효과적이지 않은 것으로 확인되었으며 기업에 Active Directory가 필요한 이유는 무엇입니까?

가장 일반적인 의미에서 디렉토리는 개체의 전체 목록입니다. 전화번호부는 사람, 기업, 정부 기관에 대한 정보를 저장하는 일종의 디렉토리입니다.일반적으로 이름, 주소, 전화번호를 기록합니다.궁금하다 Active Directory - 간단히 말해서 이 기술은 디렉토리와 유사하지만 훨씬 더 유연하다고 말할 수 있습니다. AD는 조직, 사이트, 시스템, 사용자, 공유 및 기타 네트워크 엔터티에 대한 정보를 저장합니다..

Active Directory 개념 소개

조직에 Active Directory가 필요한 이유는 무엇입니까? Active Directory 소개에서 언급했듯이 서비스는 네트워크 구성 요소에 대한 정보를 저장합니다.초보자를 위한 Active Directory 가이드에서는 다음과 같이 설명합니다. 클라이언트가 네임스페이스에서 개체를 찾을 수 있도록 합니다.이 t 콘솔 트리라고도 하는 용어는 네트워크 구성 요소가 위치할 수 있는 영역을 나타냅니다. 예를 들어, 책의 목차는 장을 페이지 번호에 할당할 수 있는 네임스페이스를 만듭니다.

DNS는 호스트 이름을 다음과 같은 IP 주소로 확인하는 콘솔 트리입니다.전화번호부는 전화번호 이름을 확인하기 위한 네임스페이스를 제공합니다. Active Directory에서는 어떻게 이런 일이 발생합니까? AD는 네트워크 개체 이름을 개체 자체로 확인하기 위한 콘솔 트리를 제공하고네트워크의 사용자, 시스템, 서비스를 포함한 광범위한 엔터티를 확인할 수 있습니다.

객체와 속성

Active Directory가 추적하는 모든 것은 개체로 간주됩니다.간단히 말해서 이것이 Active Directory에 있다고 말할 수 있습니다. 모든 사용자, 시스템, 리소스 또는 서비스입니다. AD는 많은 요소를 추적할 수 있고 많은 개체가 공통 특성을 공유할 수 있기 때문에 개체라는 공통 용어가 사용됩니다. 무슨 뜻이에요?

속성은 Active Directory의 개체를 설명합니다. 예를 들어 모든 사용자 개체는 사용자 이름을 저장하는 속성을 공유합니다. 이는 설명에도 적용됩니다. 시스템도 객체이지만 호스트 이름, IP 주소, 위치를 포함하는 별도의 속성 세트를 가집니다.

특정 유형의 객체에 사용할 수 있는 속성 집합을 스키마라고 합니다. 이는 객체 클래스를 서로 구별되게 만듭니다. 스키마 정보는 실제로 Active Directory에 저장됩니다. 이 보안 프로토콜 동작이 매우 중요하다는 것은 관리자가 개체 클래스에 특성을 추가하고 도메인 컨트롤러를 다시 시작하지 않고도 네트워크를 통해 도메인의 모든 모서리에 특성을 배포할 수 있도록 설계되었다는 사실에서 입증됩니다.

LDAP 컨테이너 및 이름

컨테이너는 서비스 작업을 구성하는 데 사용되는 특수한 유형의 객체입니다. 사용자나 시스템과 같은 물리적 개체를 나타내지 않습니다. 대신, 다른 요소를 그룹화하는 데 사용됩니다. 컨테이너 개체는 다른 컨테이너 내에 중첩될 수 있습니다.

AD의 모든 요소에는 이름이 있습니다. 예를 들어 Ivan이나 Olga와 같이 익숙한 것이 아닙니다. 이는 LDAP 고유 이름입니다. LDAP 고유 이름은 복잡하지만 유형에 관계없이 디렉터리 내의 모든 개체를 고유하게 식별할 수 있습니다.

용어 트리 및 웹사이트

용어 트리는 Active Directory의 개체 집합을 설명하는 데 사용됩니다. 이게 뭔가요? 간단히 말해서 이는 트리 연관을 사용하여 설명할 수 있습니다. 컨테이너와 개체가 계층적으로 결합되면 분기를 형성하는 경향이 있으므로 이름이 붙었습니다. 관련 용어는 트리의 깨지지 않은 주요 줄기를 나타내는 연속 하위 트리입니다.

계속해서 비유하자면 "포리스트"라는 용어는 동일한 네임스페이스의 일부는 아니지만 공통 스키마, 구성 및 전역 디렉터리를 공유하는 컬렉션을 설명합니다. 보안이 허용되는 경우 이러한 구조의 개체는 모든 사용자가 사용할 수 있습니다. 여러 도메인으로 나누어진 조직은 트리를 단일 포리스트로 그룹화해야 합니다.

사이트는 Active Directory에 정의된 지리적 위치입니다. 사이트는 논리적 IP 서브넷에 해당하므로 애플리케이션이 네트워크에서 가장 가까운 서버를 찾는 데 사용될 수 있습니다. Active Directory의 사이트 정보를 사용하면 WAN의 트래픽을 크게 줄일 수 있습니다.

Active Directory 관리

Active Directory 사용자 스냅인 구성 요소. 이는 Active Directory를 관리하는 데 가장 편리한 도구입니다. 시작 메뉴의 관리 도구 프로그램 그룹에서 직접 액세스할 수 있습니다. 이는 Windows NT 4.0의 서버 관리자와 사용자 관리자를 대체하고 개선합니다.


안전

Active Directory는 Windows 네트워크의 미래에서 중요한 역할을 합니다. 관리자는 작업을 다른 관리자에게 위임하면서 공격자와 사용자로부터 자신의 디렉터리를 보호할 수 있어야 합니다. 이 모든 것은 액세스 제어 목록(ACL)을 디렉터리의 모든 컨테이너 및 개체 특성과 연결하는 Active Directory 보안 모델을 사용하여 가능합니다.

높은 수준의 제어를 통해 관리자는 개별 사용자 및 그룹에 개체 및 해당 속성에 대한 다양한 수준의 권한을 부여할 수 있습니다. 개체에 속성을 추가하고 특정 사용자 그룹에서 해당 속성을 숨길 수도 있습니다. 예를 들어 관리자만 다른 사용자의 집 전화를 볼 수 있도록 ACL을 설정할 수 있습니다.

위임된 관리

Windows 2000 Server의 새로운 개념은 관리 위임입니다. 이를 통해 추가 액세스 권한을 부여하지 않고도 다른 사용자에게 작업을 할당할 수 있습니다. 위임된 관리는 특정 개체나 인접한 디렉터리 하위 트리를 통해 할당될 수 있습니다. 이는 네트워크 전반에 걸쳐 권한을 부여하는 훨씬 더 효율적인 방법입니다.

안에 누군가에게 모든 전역 도메인 관리자 권한이 할당되는 곳에서는 사용자에게 특정 하위 트리 내에서만 권한이 부여될 수 있습니다. Active Directory는 상속을 지원하므로 모든 새 개체는 해당 컨테이너의 ACL을 상속합니다.

"신탁관계"라는 용어

"신탁 관계"라는 용어는 여전히 사용되지만 기능은 다릅니다. 단방향 트러스트와 양방향 트러스트 사이에는 차이가 없습니다. 결국 모든 Active Directory 신뢰 관계는 양방향입니다. 게다가 그것들은 모두 전이적이다. 따라서 도메인 A가 도메인 B를 신뢰하고 B가 C를 신뢰하는 경우 도메인 A와 도메인 C 간에 자동 암시적 신뢰 관계가 발생합니다.

Active Directory 감사 - 간단히 말해서 무엇입니까? 이는 개체에 액세스하려는 사람과 시도의 성공 정도를 확인할 수 있는 보안 기능입니다.

DNS(도메인 이름 시스템) 사용

DNS라고도 알려진 이 시스템은 인터넷에 연결된 모든 조직에 필요합니다. DNS는 mspress.microsoft.com과 같은 일반 이름과 네트워크 계층 구성 요소가 통신에 사용하는 원시 IP 주소 간의 이름 확인을 제공합니다.

Active Directory는 DNS 기술을 광범위하게 사용하여 개체를 조회합니다. 이는 NetBIOS 이름을 IP 주소로 확인해야 하고 WINS 또는 기타 NetBIOS 이름 확인 기술을 사용했던 이전 Windows 운영 체제와는 크게 달라진 점입니다.

Active Directory는 Windows 2000을 실행하는 DNS 서버와 함께 사용할 때 가장 잘 작동합니다. Microsoft는 관리자에게 프로세스를 안내하는 마이그레이션 마법사를 제공하여 관리자가 Windows 2000 기반 DNS 서버로 마이그레이션하는 것을 더 쉽게 만들었습니다.

다른 DNS 서버를 사용할 수도 있습니다. 그러나 이를 위해서는 관리자가 DNS 데이터베이스를 관리하는 데 더 많은 시간을 투자해야 합니다. 뉘앙스는 무엇입니까? Windows 2000을 실행하는 DNS 서버를 사용하지 않기로 선택한 경우 DNS 서버가 새로운 DNS 동적 업데이트 프로토콜을 준수하는지 확인해야 합니다. 서버는 레코드를 동적으로 업데이트하여 도메인 컨트롤러를 찾습니다. 편안하지 않습니다. 결국, 전자동적 업데이트가 지원되지 않으면 데이터베이스를 수동으로 업데이트해야 합니다.

이제 Windows 도메인과 인터넷 도메인이 완벽하게 호환됩니다. 예를 들어 mspress.microsoft.com과 같은 이름은 도메인을 담당하는 Active Directory 도메인 컨트롤러를 식별하므로 DNS 액세스 권한이 있는 모든 클라이언트가 도메인 컨트롤러를 찾을 수 있습니다.Active Directory 서버는 새로운 동적 업데이트 기능을 사용하여 DNS에 주소 목록을 게시하므로 고객은 DNS 확인을 사용하여 원하는 수의 서비스를 조회할 수 있습니다. 이 데이터는 도메인으로 정의되어 서비스 리소스 레코드를 통해 게시됩니다. SRV RR은 형식을 따릅니다.서비스.프로토콜.도메인.

Active Directory 서버는 객체 호스팅을 위한 LDAP 서비스를 제공하고 LDAP는 기본 전송 계층 프로토콜로 TCP를 사용합니다. 따라서 mspress.microsoft.com 도메인에서 Active Directory 서버를 찾는 클라이언트는 ldap.tcp.mspress.microsoft.com에 대한 DNS 항목을 찾습니다.

글로벌 카탈로그

Active Directory는 글로벌 카탈로그(GC)를 제공하며조직의 네트워크에 있는 모든 개체를 검색할 수 있는 단일 소스를 제공합니다.

글로벌 카탈로그는 사용자가 공유된 개체를 찾을 수 있게 해주는 Windows 2000 Server의 서비스입니다. 이 기능은 이전 버전의 Windows에 포함된 컴퓨터 찾기 응용 프로그램보다 훨씬 뛰어납니다. 결국 사용자는 Active Directory에서 서버, 프린터, 사용자, 응용 프로그램 등 모든 개체를 검색할 수 있습니다.

나는 중소기업을 내부적으로 잘 알고 있기 때문에 항상 다음과 같은 질문에 관심을 갖고 있었습니다. 시스템 관리자가 자신의 업무 컴퓨터에서 선호하는 브라우저를 직원이 사용해야 하는 이유를 설명하세요. 또는 동일한 아카이버, 이메일 클라이언트, 인스턴트 메시징 클라이언트와 같은 다른 소프트웨어를 사용하십시오. 저는 시스템 관리자의 개인적인 동정이 아니라 충분한 기능을 기반으로 표준화를 부드럽게 암시하고 있습니다. , 이러한 소프트웨어 제품의 유지 관리 및 지원 비용. 모두가 원하는 대로 할 때 IT를 기술이 아닌 정밀한 과학으로 간주해 봅시다. 다시 말하지만, 중소기업에서도 이와 관련해 많은 문제가 있습니다. 어려운 위기 상황에 처한 회사에서 이러한 관리자 중 여러 명을 교체했다고 상상해 보십시오. 이러한 상황에서 가난한 사용자는 어떻게 해야 합니까? 지속적으로 재교육을 하시겠습니까?

다른 쪽에서 살펴 보겠습니다. 모든 관리자는 현재 회사(IT 포함)에서 무슨 일이 일어나고 있는지 이해해야 합니다. 이는 현재 상황을 모니터링하고 다양한 유형의 문제 발생에 신속하게 대응하기 위해 필요합니다. 그러나 이러한 이해는 전략 계획에 더 중요합니다. 결국 튼튼하고 믿을 수 있는 기초가 있으면 3층이나 5층짜리 집을 짓고, 다양한 모양의 지붕을 만들고, 발코니나 겨울 정원을 만들 수 있습니다. 마찬가지로 IT에서도 우리는 안정적인 기반을 갖추고 있습니다. 더 복잡한 제품과 기술을 사용하여 비즈니스 문제를 해결할 수 있습니다.

첫 번째 기사에서는 이러한 기반인 Active Directory 서비스에 대해 설명합니다. 이는 모든 규모와 활동 영역의 회사 IT 인프라를 위한 강력한 기반이 되도록 설계되었습니다. 그것은 무엇입니까? 그럼 이것에 대해 이야기 해 봅시다 ...

도메인 및 Active Directory 서비스라는 간단한 개념으로 대화를 시작해 보겠습니다.

도메인사용자, 컴퓨터, 프린터, 공유 등과 같은 모든 네트워크 개체를 포함하는 기업 네트워크 인프라의 기본 관리 단위입니다. 이러한 도메인의 집합을 포리스트라고 합니다.

Active Directory 서비스(Active Directory 서비스)은 모든 도메인 개체를 포함하는 분산 데이터베이스입니다. Active Directory 도메인 환경은 기업 전체의 사용자 및 애플리케이션에 대한 단일 인증 및 권한 부여 지점을 제공합니다. 엔터프라이즈 IT 인프라 구축은 도메인 구성과 Active Directory 서비스 배포에서 시작됩니다.

Active Directory 데이터베이스는 전용 서버(도메인 컨트롤러)에 저장됩니다. Active Directory 서비스는 Microsoft Windows Server 서버 운영 체제의 역할입니다. Active Directory 서비스는 확장성이 뛰어납니다. Active Directory 포리스트에는 20억 개 이상의 개체가 생성될 수 있으므로 수십만 대의 컴퓨터와 사용자가 있는 회사에서 디렉터리 서비스를 구현할 수 있습니다. 도메인의 계층적 구조를 통해 IT 인프라를 회사의 모든 지점 및 지역 사업부로 유연하게 확장할 수 있습니다. 회사의 각 지점 또는 부문에 대해 자체 정책, 자체 사용자 및 그룹이 포함된 별도의 도메인을 생성할 수 있습니다. 각 하위 도메인에 대해 관리 권한을 로컬 시스템 관리자에게 위임할 수 있습니다. 동시에 하위 도메인은 여전히 ​​상위 도메인에 종속됩니다.

또한 Active Directory 서비스를 사용하면 도메인 포리스트 간의 신뢰 관계를 구성할 수 있습니다. 각 회사에는 고유한 리소스가 있는 고유한 도메인 포리스트가 있습니다. 그러나 때로는 공동 프로젝트의 일환으로 공통 문서 및 애플리케이션을 사용하여 다른 회사의 직원에게 회사 리소스에 대한 액세스 권한을 제공해야 합니다. 이를 위해 조직 포리스트 간에 신뢰 관계를 설정하면 한 조직의 직원이 다른 조직의 도메인에 로그인할 수 있습니다.

Active Directory 서비스에 대한 내결함성을 보장하려면 각 도메인에 두 개 이상의 도메인 컨트롤러를 배포해야 합니다. 모든 변경 사항은 도메인 컨트롤러 간에 자동으로 복제됩니다. 도메인 컨트롤러 중 하나에 오류가 발생하더라도 나머지 컨트롤러는 계속 작동하므로 네트워크 기능은 영향을 받지 않습니다. Active Directory의 도메인 컨트롤러에 DNS 서버를 배치하면 추가 수준의 복원력이 제공됩니다. 이를 통해 각 도메인은 도메인의 기본 영역을 서비스하는 여러 DNS 서버를 가질 수 있습니다. DNS 서버 중 하나가 실패하더라도 다른 서버는 계속 작동합니다. 이 시리즈의 기사 중 하나에서 IT 인프라에서 DNS 서버의 역할과 중요성에 대해 설명하겠습니다.

그러나 이는 모두 Active Directory 서비스 구현 및 유지 관리의 기술적인 측면입니다. P2P 네트워킹에서 벗어나 작업 그룹을 사용함으로써 회사가 얻을 수 있는 이점에 대해 이야기해 보겠습니다.

1. 단일 인증 지점

작업 그룹의 각 컴퓨터 또는 서버에서 네트워크 액세스가 필요한 전체 사용자 목록을 수동으로 추가해야 합니다. 직원 중 한 명이 갑자기 자신의 비밀번호를 변경하려는 경우 모든 컴퓨터와 서버에서 비밀번호를 변경해야 합니다. 네트워크가 10대의 컴퓨터로 구성되어 있으면 좋지만 그 이상이면 어떻게 될까요? Active Directory 도메인을 사용하는 경우 모든 사용자 계정은 하나의 데이터베이스에 저장되며 모든 컴퓨터는 인증을 위해 이 데이터베이스를 찾습니다. 모든 도메인 사용자는 "회계", "재무 부서"와 같은 해당 그룹에 포함됩니다. 특정 그룹에 대한 권한을 한 번만 설정하면 모든 사용자가 문서 및 애플리케이션에 대한 적절한 액세스 권한을 갖게 됩니다. 새로운 직원이 회사에 합류하면 해당 그룹에 포함된 계정이 생성됩니다. 직원은 액세스가 허용되어야 하는 모든 네트워크 리소스에 액세스할 수 있습니다. 직원이 그만둔 경우 해당 직원을 차단하면 해당 직원은 즉시 모든 리소스(컴퓨터, 문서, 애플리케이션)에 대한 액세스 권한을 잃게 됩니다.

2. 단일 지점에서 정책 관리

작업 그룹에서 모든 컴퓨터는 동일한 권한을 갖습니다. 어떤 컴퓨터도 다른 컴퓨터를 제어할 수 없습니다. 통일된 정책과 보안 규칙을 준수하는지 모니터링하는 것은 불가능합니다. 단일 Active Directory를 사용하는 경우 모든 사용자와 컴퓨터는 조직 단위 전체에 계층적으로 분산되며 각 조직 단위에는 동일한 그룹 정책이 적용됩니다. 정책을 사용하면 컴퓨터 및 사용자 그룹에 대해 통일된 설정과 보안 설정을 지정할 수 있습니다. 새 컴퓨터나 사용자가 도메인에 추가되면 허용된 회사 표준을 준수하는 설정이 자동으로 수신됩니다. 정책을 사용하면 중앙에서 사용자에게 네트워크 프린터를 할당하고, 필요한 애플리케이션을 설치하고, 브라우저 보안 설정을 지정하고, Microsoft Office 애플리케이션을 구성할 수 있습니다.

3. 정보보안 수준 향상

Active Directory 서비스를 사용하면 네트워크 보안 수준이 크게 향상됩니다. 첫째, 단일하고 안전한 계정 저장소입니다. 도메인 환경에서 모든 도메인 사용자 비밀번호는 일반적으로 외부 액세스로부터 보호되는 전용 도메인 컨트롤러 서버에 저장됩니다. 둘째, 도메인 환경을 사용할 때 Kerberos 프로토콜을 인증에 사용하는데, 이는 작업그룹에서 사용하는 NTLM보다 훨씬 안전합니다.

4. 기업 애플리케이션 및 장비와의 통합

Active Directory 서비스의 가장 큰 장점은 메일 서버(Exchange Server), 프록시 서버(ISA Server, TMG)와 같은 다른 시스템에서 지원되는 LDAP 표준을 준수한다는 것입니다. 그리고 이것이 반드시 Microsoft 제품에만 해당되는 것은 아닙니다. 이러한 통합의 장점은 사용자가 특정 애플리케이션에 액세스하기 위해 많은 수의 로그인 및 비밀번호를 기억할 필요가 없다는 것입니다. 모든 애플리케이션에서 사용자는 동일한 자격 증명을 갖습니다. 즉, 단일 Active Directory에서 인증이 이루어집니다. Windows Server는 다수의 네트워크 장비에서 지원되는 Active Directory와의 통합을 위한 RADIUS 프로토콜을 제공합니다. 따라서 외부에서 VPN을 통해 연결하거나 회사 내 Wi-Fi 액세스 포인트를 사용할 때 도메인 사용자의 인증을 보장하는 것이 가능합니다.

5. 통합 애플리케이션 구성 스토리지

일부 응용 프로그램은 Exchange Server와 같은 Active Directory에 구성을 저장합니다. Active Directory 디렉터리 서비스 배포는 이러한 응용 프로그램이 작동하기 위한 전제 조건입니다. 디렉터리 서비스에 응용 프로그램 구성을 저장하면 유연성과 안정성이 향상됩니다. 예를 들어 Exchange 서버에 완전한 오류가 발생하는 경우 전체 구성은 그대로 유지됩니다. 회사 메일의 기능을 복원하려면 Exchange Server를 복구 모드로 다시 설치하는 것으로 충분합니다.

요약하면 Active Directory 서비스가 기업 IT 인프라의 핵심이라는 점을 다시 한 번 강조하고 싶습니다. 장애가 발생할 경우 전체 네트워크, 모든 서버, 모든 사용자의 업무가 마비됩니다. 누구도 컴퓨터에 로그인하거나 문서 및 응용 프로그램에 액세스할 수 없습니다. 따라서 디렉터리 서비스는 회사 지점이나 사무실 간의 채널 대역폭(시스템에 대한 사용자 로그인 속도 및 도메인 간 데이터 교환 등)과 같은 가능한 모든 미묘한 차이를 고려하여 신중하게 설계하고 배포해야 합니다. 컨트롤러는 이에 직접적으로 의존합니다).

관련 기사