본문 바로가기

IT 살이/04. 기술 - 인프라

마이크로소프트 Active Directory 설명

근무하는 곳에서 아래 Active Directory 동영상에 대한 정보를 받았다. 한 사람 건너서 꽤 오랬동안 알아온 강사분이다. 능력자로 알고 있다.

 ---------


전체 동영상은 아래 CH9 사이트에서도 찾아볼 수 있다.

https://channel9.msdn.com/Search?term=active%20directory#ch9Search&pageSize=15&lang-ko=ko



■right vs permission


right ( 권한 )

- 할 수 있는 것(what to do )

- 그룹정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당(User right assignment)에서 "정책"으로 권한을 설정

- 예) "네트워크에서 이 컴퓨터 액세스"

  설명- 이 사용자 권한은 네트워크를 통해 컴퓨터에 연결할 수 있는 사용자 및 그룹을 결정합니다. 

  원격 데스크톱 서비스는 이 사용자 권한의 영향을 받지 않습니다.


permission( 사용권한 )

- "리소스"를 사용할 수 있는 사용자와 권한을 설정

- 파일/폴더 오른쪽 클릭 > 속성 창의 "보안" 탭에서 권한(CRUD)을 설정


■Workgroup vs Domain


- Where can i AUTHENTICATE & AUTHORIZE ?

- Workgroup에서는 복수의 머신 관리을 위해 "Mirrored Account"를 사용한다.


■Active Directory


☞구성요소 

- Object( Class의 인스턴스) - User object, Group object, GroupPolicy object

- Attribute


☞AD 사용

- 인증( Kerberos )

- 정보 조회(LDAP)

- Management


☞Domain

- 영향을 미칠 수 있는 범위

- one or more domain controller


☞OU

- 그룹정책 단위

- 권한 위임 단위


☞Forest

- 포함된 Domain의 schema는 같아야 함(객체 및 어트리뷰트가 동일해야 함)

- trust 기술 기반


☞AD DS(Directory Service ), 데이터베이스 구성

- Schema

- configuration

- Domain

- Application 


Schema, Configuration : Forest 전체 동일

Domain : 도메인 차원. 도메인별 설정 저장

Application : 어플리케이션 configuration 저장( ex, DNS )


☞ AD DS Logonon 프로세스

1) Client->DC, TGT( Ticket to Get Ticket )

2) Client->DC, TGS( Ticket to Get Service )

3) Client->Svr, 서비스 사용( DC <-> Svr 상호 신뢰로 DC에 인증 확인하는 절차 필요없음 )


3단계 인증 및 권한 부여 메커니즘 --> Kerberos(머리 3개 달린 동물 )


☞Operation master

- RID master

- Infrastructure master

- PDC emulator master


☞Active Directory 관리툴 3가지

- 뭐였지? "Active Direoctory 사용자 및 컴퓨터" 외