제 블로그에 Active Directory나 그룹 정책에 대한 글들이 많은데, 정작 Active Directory가 무엇인지 설명하는 글은 없었네요. 가능한 쉽게 설명해보려 하는데, 제 생각대로 될지 모르겠습니다.

 

Active Directory란 무엇인가?

Active Directory는 회사 직원들의 계정 정보(ID, Password)와 컴퓨터에 대한 정보, 그리고 회사에서 강제하고자 하는 정책들(예를 들어 패스워드를 최소 8자리에 30일 마다 변경한다 든지, 컴퓨터를 5분이상 사용하지 않으면 화면 보호기가 실행된다 든지 등)에 대한 정보를 저장하고 있는 일종의 데이터베이스라고 생각하시면 됩니다.

데이터베이스라고 하면 대부분 MSSQL이나 MySQL과 같은 것을 생각하십니다. Active Directory는 일반적인 데이터베이스와는 조금 다른 파일 타입의 데이터베이스이고, 암호화 되어 저장되어 있기 때문에 메모장이나 텍스트 에디터로는 열어볼 수 없습니다.

참고로, Active Directory의 데이터베이스 파일이 저장되는 기본 위치는, 도메인 컨트롤러의 C:\Windows\NTDS라는 폴더입니다.

각 파일에 대한 자세한 설명은 아래 블로그를 참고하시기 바랍니다.
Active Directory Database, SYSVOL and System State - http://www.rebeladmin.com/2015/02/active-directory-database-sysvol-and-system-state/

그렇다면 데이터베이스에 저장된 정보는 어떻게 확인하고 또 데이터를 저장 및 변경 할 수 있을까요?

바로 Active Directory 관리를 위한 별도의 콘솔(MMC)들을 사용합니다.
Windows Server 2012 R2를 기준으로, Active Directory 관리 센터, Active Directory 도메인 및 트러스트, Active Directory 사용자 및 컴퓨터, Active Directory 사이트 및 서버스, ADSI 편집, DNS, 그룹 정책 관리 등의 관리 콘솔을 사용할 수 있습니다. 

Active Directory를 사용하게 되면 주로 사용하게 되는 콘솔은 Active Directory 사용자 및 컴퓨터와 그룹 정책 관리 콘솔입니다.

Active Directory 사용자 및 컴퓨터 관리 콘솔에서는 사용자 계정을 생성한다거나, 패스워드를 리셋한다거나, 컴퓨터를 사용 안 함 상태로 만들어 로그온을 차단한다거나 등과 같은 사용자와 컴퓨터에 대한 작업을 할 수 있습니다.
아래는 Active Directory 사용자 및 컴퓨터 관리 콘솔에서 사용자 계정을 생성하는 화면입니다.

그룹 정책 관리 콘솔에서는 회사에서 강제하고자 하는 IT 정책들을 생성하고 적용할 수 있습니다. 아래는 그룹 정책 관리 콘솔에서 패스워드 정책을 설정한 화면입니다. 암호 복잡성, 최대 암호 사용 기간, 최소 암호 길이 등등을 설정할 수 있습니다.

나머지 관리 콘솔의 용도들을 인터넷 검색을 통해서 확인해보시기를 바랍니다.

 

Active Directory의 용도와 활용

Active Directory가 일종의 데이터베이스이고, 사용자 계정 정보와 컴퓨터 정보 같은 것들이 저장된다고 말씀 드렸습니다. 그렇다면 실제로 이러한 데이터베이스 정보들은 어디서 어떻게 사용되는 것일까요?

회사 전체 IT 시스템에서 사용자에 대한 인증과 권한이 필요한 부분에서는 모두 Active Directory의 정보를 활용한다고 보시면 될겁니다.

인증은 사용자가 누구인지 확인(혹은 본인이 맞다는 것을 증명)하는 것입니다. 예를 들어 사용자가 컴퓨터에 로그온 할 때, 자신의 ID와 Password 를 입력해서 자신이 인가된 사용자가 맞다고 증명하는 것이 인증입니다.


권한은 말 그대로 어떤 작업을 수행하는데 필요한 권한을 가지고 있는지 확인하는 것입니다. 예를 들어 회사 내에 파일 서버가 있고, 각 부서 별로 폴더를 만들어서 사용하는 경우에, 각 부서 폴더는 해당 부서의 부서원에게만 읽기, 쓰기, 수정 권한을 부여하고, 다른 부서원이 접근하는 것은 차단하는 것이 권한입니다.

 

인증과 권한이 사용되는 모든 곳에서 Active Directory 정보가 사용된다고 보시면 되겠습니다.

 

도입시 고려 사항

가장 중요하게 고려되어야 할 부분이 바로 컴퓨터의 Active Directory 도메인 가입(Join) 입니다.
Active Directory를 통해 인증과 권한 관리를 하고자 한다면, 그 인증과 권한 부여의 대상이 되는 컴퓨터들이 모두 Active Directory 도메인에 가입되어야 합니다.
도메인 가입 작업이 어렵지는 않지만 컴퓨터 수가 많다면 상당한 시간이 소요됩니다.

또 컴퓨터가 도메인에 가입하게 되면 사용자의 프로필이 바뀝니다. 쉽게 말하면 사용자가 기존에 로그온해서 사용하던 바탕화면과 내 문서들이 새로 생성된다는 것입니다. (사라지지는 않습니다. C:\Users 폴더 하위에 남아 있습니다.) 바탕화면이 바뀌다 보니 사용자들의 불만이 나올 수 밖에 없습니다. 이 부분은 사전 공지를 통해 사용자들을 충분히 설득 시키거나 혹은 별도의 도메인 가입 툴을 사용하여 기존 사용자 프로필을 새 프로필로 마이그레이션 시켜야 합니다. (도메인 가입 툴은 한 컴퓨터 당 1~2만원 정도 합니다.)

혹시 회사에서 별도로 DNS를 운영하고 있었다면, Active Directory 의 DNS로 마이그레이션 시켜야 합니다. Active Directory 자체가 DNS 기능을 포함하고 있으며, Active Directory에 가입된 모든 클라이언트 컴퓨터들은 Active Directory DNS를 바라보아야 합니다.

이 외에도 고려해야 할 것들이 더 있겠으나, 일일이 나열하기는 힘들어 이정도에서 마무리 하겠습니다.

 

 

 

  1. 썩소 2017.02.22 04:14

    항상 좋은 정보 감사합니다.

  2. 타이라 2019.04.23 19:32

    좋은 정보 감사합니다
    저희회사에서 저걸 도입한다고 하는데..
    혹시 제 화면을 볼 수 있다거나 제 pc에 있는 파일들을 엿볼 수 있나요 ?

    • ㅂㅈㄷ 2019.06.13 12:54

      보통 프로세스단 정도에서만 모니터링을 하지만, 원천적으로 불가능하지는 않습니다.

+ Recent posts