Active Directory 논리 모델 이해
AD DS(Active Directory Domain Services)에 대한 논리적 구조를 디자인하려면 디렉터리의 컨테이너 간 관계를 정의해야 합니다. 이러한 관계는 권한 위임과 같은 관리 요구 사항을 기반으로 하거나 복제를 제어해야 하는 필요성과 같은 운영 요구 사항에 의해 정의될 수 있습니다.
Active Directory 논리 구조를 디자인하기 전에 Active Directory 논리 모델을 이해하는 것이 중요합니다. AD DS는 디렉터리 사용 애플리케이션의 네트워크 리소스와 애플리케이션별 데이터에 대한 정보를 저장하고 관리하는 분산 데이터베이스입니다. AD DS는 관리자로 하여금 사용자, 컴퓨터 및 다른 디바이스와 같은 네트워크 요소를 계층적 포함 구조로 구성하도록 합니다. 최상위 컨테이너는 포리스트입니다. 포리스트 내에는 도메인이 있고 도메인 내에는 OU(조직 구성 단위)가 있습니다. 이는 각 도메인 및 네트워크 토폴로지 내에 필요한 도메인 컨트롤러 수와 같이 배포의 물리적 측면과 독립적이기 때문에 논리 모델이라고 합니다.
Active Directory 포리스트
포리스트는 하나 이상의 Active Directory 도메인 집합으로, 동일한 논리 구조, 디렉터리 스키마(클래스 및 속성 정의), 디렉터리 구성(사이트 및 복제 정보), 글로벌 카탈로그(포리스트 전체 검색 기능)를 공유합니다. 동일한 포리스트의 도메인은 양방향 전이적 트러스트 관계와 자동으로 연결됩니다.
Active Directory 도메인
도메인은 Active Directory 포리스트의 파티션입니다. 데이터를 분할하면 조직에서 필요한 위치에만 데이터를 복제할 수 있습니다. 이러한 방식으로 디렉터리는 사용 가능한 대역폭이 제한된 네트워크를 통해 전역적으로 확장할 수 있습니다. 또한 도메인은 다음을 포함하여 관리와 관련된 여러 가지 다른 핵심 기능을 지원합니다.
네트워크 전체 사용자 ID. 도메인은 사용자 ID를 만들고 도메인이 있는 포리스트에 조인된 모든 컴퓨터에서 참조하도록 합니다. 도메인을 구성하는 도메인 컨트롤러는 사용자 계정 및 사용자 자격 증명(예: 암호 또는 인증서)을 안전하게 저장하도록 합니다.
인증. 도메인 컨트롤러는 사용자를 위한 인증 서비스를 제공하고, 네트워크의 리소스에 대한 액세스를 제어하는 데 사용할 수 있는 사용자 그룹 멤버 자격과 같은 추가 권한 부여 데이터를 제공합니다.
트러스트 관계. 도메인은 트러스트를 통해 자신의 포리스트 외부에 있는 도메인의 사용자에게 인증 서비스를 확장할 수 있습니다.
복제. 도메인은 도메인 서비스를 제공하기에 충분한 데이터가 포함된 디렉터리의 파티션을 정의한 다음 도메인 컨트롤러 간에 복제합니다. 이러한 방식으로 모든 도메인 컨트롤러는 도메인의 피어이며, 하나의 단위로 관리됩니다.
Active Directory 조직 구성 단위
OU를 사용하여 도메인 내의 컨테이너 계층 구조를 구성할 수 있습니다. OU는 그룹 정책 적용 또는 권한 위임과 같은 관리 목적으로 개체를 그룹화하는 데 사용됩니다. OU 및 그 안의 개체에 대한 제어는 OU의 ACL(액세스 제어 목록) 및 OU의 개체에 따라 결정됩니다. 다수의 개체 관리 용이성을 위해, AD DS는 권한 위임 개념을 지원합니다. 위임을 통해 소유자는 개체에 대한 전체 또는 제한된 관리 제어권을 다른 사용자나 그룹에 양도할 수 있습니다. 위임이 중요한 이유는, 위임을 사용하여 관리 작업 수행 능력을 갖춘 신뢰할 수 있는 많은 사용자에게 다수의 개체 관리를 배포할 수 있기 때문입니다.