안녕하세요. The Grit입니다. Windows 서비스인 Active Directory에 대해서 정리해 보도록 하겠습니다.
1. Active Diretory란?
윈도 2000 서버 이상의 제품군에서 지원하는 디렉터리 서비스. 윈도 NT 서버에서 업그레이드된 확장 기능을 지원하는 디렉터리 서비스로 진보된 계층적 디렉터리 서비스를 지원한다. 또한, 사용자, 사용자 그룹, 네트워크 데이터 등을 통합 관리하는 기능을 지원한다. 액티브 디렉터리는 LDAP를 만족하며, 인터넷의 DNS상에 구현되고, LDAP를 만족하는 클라이언트는 액티브 디렉토리에 액세스할 수 있다. 또한, 다른 기종으로 구성되어 있는 기업의네트워크에서 기능을 발휘할 수 있으며, NDS나 NIS+를 포함한 다른 디렉터리 서비스를 포함하므로 기업의 네트워크 운영 체계, 전자 우편 시스템, 그룹웨어가 각각 가지고 있던 디렉터리의 통합 관리도 가능하다.
(네이버 지식백과)
* Active Directory 는 네트워크 사용자, 컴퓨터 그리고 기타 자원에 대한 중앙 관리 시스템을제공
- 중앙화 디렉토리 ex) 전화번호부
- 해당 인프라를 모두 관리 가능
- SSO(Single Sing On) Access
- 보안 연동
- 확장성
- 표준화된 관리 인터페이스 제공 : LDAP(Query), Kerberos(인증프로토콜),
: DAP ( Directory Access Protocol ) -> LDAP ( Lightweight )
x.500, x.509 이 두개가 표준인데 이 표준을 바꾼것이 LDAP
* 인증 : 인증이란 네트워크 내에 사용자 ID(Identification)을 확인하는 프로세스 ex) 스마트카드, 지문 인식 등
* 직접 로그온 : 로컬 컴퓨터에 대한 접근 허용(ID와 Password 직접 입력)
* 네트워크 인증 : 네트워크 자원에 대한 접근 허용
* 허가 : 인증된 사용자가 행하는 특정 작업에 대해 가능한지를 확인하는프로세스
* 보안 주체는 계정 생성시 발급된 SID(Security Identifiers)를 가지고 있다.
* 사용자 계정은 인증시 사용자의 SID의 모든 소속된 SID가 포함된보안 토큰을 발급 받는다.
* 네트워크 내 공유자원은 자원에 대한 접근이 가능한 사용자에 대한 ACL(Access Control List)를 가지고 있다.
* 보안 토큰은 자원의 DACL과 비교된 후 접근 허가 혹은 거부가 결정된다.
* AD를 통한 네트워크 중앙관리
- 사용자, 그룹 계정 관리에 대한 단일화된 관리도구를 제공
- 공유된 네트워크 자원에 대한 접근 할당 가능
- AD를 사용하는 응용 프로그램에 대한 디렉터리 서비스 제공
- 모든 사용자와 컴퓨터에 반영이 되는 보안 정책을 설정 : 그룹 정책( Group Policy )
- 그룹 정책을 통해 사용자 데스크탑의 보안 설정 관리 : 그룹 정책 (Group Policy )
* AD의 구성요소
1) 물리적 구성요소
- 데이터 저장소
- 도메인 컨트롤러
- 글로벌 카탈로그 서버 : 여러 개의 도메인 컨트롤러에서 사용자가 자주 사용하는 부분을따로 저장
- RODC ( 읽기 전용 도메인 컨트롤러 )
2) 논리적 구성요소
- 파티션 ( Partition )
- 스키마 ( Schema ) : AD 내 저장될 수 있는 모든 개체의 유형을 선언, 개체 생성, 구성시규칙 적용 가능
| 개체 유형 | 기능 | 예제 |
| 클래스(Class) 개체 | 디렉터리 내 개체 생성 시 필요한 정보를 선언 | 사용자 클래스, 컴퓨터 클래스 |
| 특성 (Attribute) 개체 | 각 개체 클래스에 저장할 수 있는 정보를 선언 | 표시 이름 |
- 도메인 ( Domain ) : 조직 내 AD 개체를 관리하고 그룹화 할 수 있는 논리적인 디렉터리 구성요소
* 도메인은 다음을 제공
: 개체들에 대한 정책을 반영할 수 있는 관리 영역
: DC (Domain Control) 간 데이터 복제에 대한 영역
: 자원 접근에 대한 범위를 제한할 수 있는 인증 및 허가 영역
- 도메인 트리 ( Tree )
- 포리스트 ( Forest )
- 사이트 ( Site )
- 조직 구성 단위 ( OU )
* 자원의 검색
-글로벌 카탈로그는 도메인 꼭대기에있는 기능
-NT(New Technology)
-Edition
: Web server -> Standard -> Enterprise -> Datacenter
: Home -> Professional -> Enterprise -> Ultimate
SP# => Service Pack 1 (패치가 얼마만큼 이루어졌는지 )
R# => Release (해당 버전의 업데이트가 얼마만큼 이루어졌는지 )
* Server Core
- 운영체제는 서비스라는 것이 존재하고 많이 존재하면 존재할 수록 공격 포인트가 늘어난다. 기능이 많아질수록, 완벽한 소프트웨어란 존재할 수 없고 어딘가에 취약점이 존재하기 마련이다.
- 결국은 프로그램, 서비스가 많다는 것은 해킹에 대한 위험이 더 많이 노출되어 있는 것과같다는 의미로 Server Core 는 서비스를 최소화 하고 GUI 환경이 아닌 Text 환경을 사용하므로 보안이 높아진 특징이 있다.
끝.
'OS' 카테고리의 다른 글
| TFTP ( Trivial File Transfer Protocol ) (0) | 2014.09.23 |
|---|---|
| 윈도우즈 원격 데스크톱 연결 - 듀얼 스크린 사용하기 (0) | 2014.09.23 |
| Windows exchange server - 미완료 (0) | 2014.09.22 |
| Windows server 2012 - 1일차 Hyper-V , 배포서비스를 통한 OS 설치 FTP (0) | 2014.09.22 |
| Windows server 2012 2일차 ( dhcp,dns,ad ) 미완료 FTP (0) | 2014.09.22 |