Active Directory 논리 모델 이해

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

AD DS(Active Directory Domain Services)에 대한 논리적 구조를 디자인하려면 디렉터리의 컨테이너 간 관계를 정의해야 합니다. 이러한 관계는 권한 위임과 같은 관리 요구 사항을 기반으로 하거나 복제를 제어해야 하는 필요성과 같은 운영 요구 사항에 의해 정의될 수 있습니다.

Active Directory 논리 구조를 디자인하기 전에 Active Directory 논리 모델을 이해하는 것이 중요합니다. AD DS는 디렉터리 사용 애플리케이션의 애플리케이션별 데이터뿐만 아니라 네트워크 리소스에 대한 정보를 저장하고 관리하는 분산 데이터베이스입니다. AD DS를 사용하면 관리자가 네트워크 요소(예: 사용자, 컴퓨터 및 디바이스)를 계층적 포함 구조로 구성할 수 있습니다. 최상위 컨테이너는 포리스트입니다. 포리스트 내에는 도메인이 있고 도메인 내에는 OU(조직 구성 단위)가 있습니다. 이는 각 도메인 및 네트워크 토폴로지 내에 필요한 도메인 컨트롤러 수와 같이 배포의 물리적 측면과 독립적이기 때문에 논리 모델이라고 합니다.

Active Directory 포리스트

포리스트는 공통 논리 구조, 디렉터리 스키마(클래스 및 특성 정의), 디렉터리 구성(사이트 및 복제 정보) 및 글로벌 카탈로그(포리스트 전체 검색 기능)를 공유하는 하나 이상의 Active Directory 도메인 컬렉션입니다. 동일한 포리스트의 도메인은 양방향 전이적 트러스트 관계와 자동으로 연결됩니다.

Active Directory 도메인

도메인은 Active Directory 포리스트의 파티션입니다. 데이터를 분할하면 조직에서 필요한 위치로만 데이터를 복제할 수 있습니다. 이러한 방식으로 디렉터리는 사용 가능한 대역폭이 제한된 네트워크를 통해 전역적으로 확장할 수 있습니다. 또한 도메인은 다음을 포함하여 관리와 관련된 다양한 다른 핵심 기능을 지원합니다.

  • 네트워크 전체 사용자 ID입니다. 도메인을 사용하면 도메인이 있는 포리스트에 가입된 모든 컴퓨터에서 사용자 ID를 한 번 만들고 참조할 수 있습니다. 도메인을 구성하는 도메인 컨트롤러는 사용자 계정 및 사용자 자격 증명(예: 암호 또는 인증서)을 안전하게 저장하는 데 사용됩니다.

  • 인증 도메인 컨트롤러는 사용자를 위한 인증 서비스를 제공하고 네트워크의 리소스에 대한 액세스를 제어하는 데 사용할 수 있는 사용자 그룹 멤버 자격과 같은 추가 권한 부여 데이터를 제공합니다.

  • 트러스트 관계입니다. 도메인은 트러스트를 통해 자신의 포리스트 외부에 있는 도메인의 사용자에게 인증 서비스를 확장할 수 있습니다.

  • 복제. 도메인은 도메인 서비스를 제공하기에 충분한 데이터가 포함된 디렉터리의 파티션을 정의한 다음 도메인 컨트롤러 간에 복제합니다. 이러한 방식으로 모든 도메인 컨트롤러는 도메인의 피어이며 단위로 관리됩니다.

Active Directory 조직 구성 단위

OU를 사용하여 도메인 내의 컨테이너 계층 구조를 형성할 수 있습니다. OU는 그룹 정책 적용 또는 권한 위임과 같은 관리 목적으로 개체를 그룹화하는 데 사용됩니다. OU 및 그 안의 개체에 대한 제어는 OU의 ACL(액세스 제어 목록)과 OU의 개체에 의해 결정됩니다. 많은 수의 개체를 쉽게 관리할 수 있도록 AD DS는 권한 위임 개념을 지원합니다. 위임을 통해 소유자는 개체에 대한 전체 또는 제한된 관리 제어를 다른 사용자 또는 그룹으로 전송할 수 있습니다. 위임은 관리 작업을 수행할 수 있는 신뢰할 수 있는 여러 사용자에게 많은 수의 개체 관리를 배포하는 데 도움이 되므로 중요합니다.