Active Directory 기본 상식 (feat. 사용자와 그룹관리)

Active Directory 사용자 계정의 이해
Active Directory 조직 구성 단위의 이해
Active Directory 그룹의 개념과 종류의 이해
AGDLP의 이해

 

AD 사용자 계정과 조직 구성 단위

사용자 계정은 로컬 사용자 계정과 도메인 사용자 계정으로 나뉜다.

• 로컬 사용자 계정: Active Directory와 관계없이 로컬 컴퓨터에서만 접근할 수 있는 계정
• 도메인 사용자 계정: Active Directory 도메인에 접근할 수 있는 계정

※ 도메인 사용자 계정 표현 방법

1. 기본적인 도메인 로그온 이름: SEOUL(도메인)\theRock(계정명) 
2. UPN (User Principal Name): theRock@SEOUL.com
3. Distinguished name: CN(Common Name)=theRock, OU=조직 구성단위이름, DC(Domain component)=SEOUL, DC(Domain component)=com

 

조직 구성 단위

서울 주식회사라는 회사가 있고, 해당 회사가 사용하는 도메인 명이 'seoul.or.kr'이라고 가정해보자. 

그럼 해당 도메인 안에 DC (Domain Controller)가 존재하고 각각에 부서가 존재할 것이다. (관리,회계,기술 등)

여기서 각각의 부서가 OU (Organizational Unit)이라고 생각하면 된다. 

※ OU는 도메인 내에서 여러 사용자를 하나로 묶어주는 역할을 수행하는데, 사용자 뿐 아니라 컴퓨터, 프린터, 글부, 다른 OU 등을 모두 포함할 수 있다. 

 

상기 화면은 실제 구현한 'Active Directory 사용자 및 컴퓨터' 설정 화면이다. 

hanbit.com 이라는 도메인 아래 관리부, 기술부, 회계부 조직 구성 단위(OU)가 존재하는것을 볼수 있다. 

 

---

계정

아래 사진은 Active Directory에서 계정을 생성할때 보이는 설정 창이다. 

주소, 전화, 조직 등과 같은 디테일한 정보도 추가할수 있으며, 계정옵션에 비밀번호 관련 옵션도 계정 생성시에 설정할 수 있다. 이제 kklee@hanbit.com 계정으로 다른 컴퓨터에서 로그인을 시도해 보겠다. 

kklee@hanbit.com 으로 다른 컴퓨터에서 로그인을 하면 계정 처음 시작 화면이 나온다. \

로그인 후, cmd에서 계정 관련 정보를 검색해보면, 'kklee@hanbit.com'으로 로그인 된것을 확인할 수 있다. 

 

---

Active Directory 조직 구성 단위의 이해와 실습

 

그룹은 사용자 또는 컴퓨터의 집합이며 그룹은 다른 그룹을 포함할 수도 있다. 

그룹을 사용하는 가장 큰 목적은 편리한 권한 부여에 있다!

 

만약 서울 주식회사에 100명의 직원이 있고 각 직원의 권한을 일일이 부여한다면 시간과 리소스가 많이 사용될 것이다. 또한, 권한을 일괄적으로 변경해야 하는 상황이 온다면 100명 직원의 계정을 하나하나 수정해야 한다. 

이런 불편함을 해소할 수 있는것이 '그룹'이라는 개념이다. 

 

AD에서 다루는 그룹은 크게 글로벌 그룹, 도메인 로컬 그룹, 유니버설 그룹 총 3가지 그룹이 존재한다. 

 

---

글로벌 그룹

 

글로벌 그룹은 모든 도메인에 위치한 자원 (공유 폴더, 프린터 등)에 권한을 할당할 수 있는 그룹이다. 

다만, 그룹에 속할 구성원은 꼭 글로벌 그룹을 생성한 도메인의 구성원만 포함될 수 있다. 

 

 

도메인 로컬 그룹

 

도메인 로컬 글부은 글로벌 그룹과 반대로 생각하면 된다. 도메인 로컬 그룹의 구성원은 다른 도메인의 사용자 계정이 될 수 있으나 도메인 로컬 그룹이 접근할 수 있는 자원은 자신이 소속된 도메인에 제한된다.

아래 사진을 보면, 도메인 로컬 그룹에는 어느 도메인의 사용자든 모두 포함시킬 수 있지만, 도메인 로컬 그룹은 자신의 도메인에 해당되는 자원에만 접근이 가능하다.  

 

유니버설 그룹

 

유니버설 그룹은 모든 도메인의 자원에 접근할 수 있으며, 그 구성원은 모든 도메인의 사용자 계정이 될수 있다. 

즉, 글로벌 그룹과 도메인 로컬 그룹을 합친 무적에 그룹이다. 

다만, 유니버설 그룹의 정보는 글로벌 카탈로그 (GC)에 모두 저장이 되어야 하므로 전반적인 AD 네트워크에 영향을 끼칠수 있으므로 가능하면 유니버설 그룹의 사용을 최소화 하는게 좋다. 

 

 

---

 

AGDLP의 이해

 

AGDLP

Microsoft에서는 Active Directory 설계를 할 때, AGDLP라 부르는 순서를 권장한다. 

 

Account (사용자 계정) -> Global group (글로벌 그룹) -> Domain Local group (도메인 로컬 그룹) -> Permission (권한)

 

 

그림으로 보면 상기 사진과 같다.

 

---

마치며

 

Active Directory는 윈도우 서버의 꽃이라고 할수 있는거 같다.

그만큼 많은 지식과 실습 경험이 필요함을 느꼈다. 

앞으로 계속 실습하면서 지식을 늘려나가야 겠다!