Active Directory(AD) 관리 방법

Active Directory(AD)는 Microsoft에서 개발한 디렉터리 서비스로, 네트워크 환경에서 사용자와 컴퓨터 자원을 효율적으로 관리하는 데 사용되며, Active Directory의 관리 방법에 대해 알아보겠습니다.

Ⅰ. Active Directory의 기본 구성 요소

ⅰ. 도메인 (Domain)
Active Directory의 핵심 단위로, 사용자가 속한 조직의 경계를 설정하는 기본 보안 단위입니다.
각 도메인에는 자체 보안 정책과 관계를 통해 서로 다른 도메인과 연결될 수 있습니다.
도메인 내에서는 동일한 사용자 정책을 공유하고, 중앙에서 계정, 리소스, 권한 등을 관리합니다.
ⅱ. 트리 (Tree)
하나의 도메인을 시작으로 하위 도메인들이 계층적으로 확장되는 구조입니다.
예를 들어, 조직의 최상위 도메인이 company.com이라면, 하위 도메인으로 hr.company.com과 sales.company.com을 추가하여 부서별 관리가 가능합니다.상위 및 하위 도메인 간에 기본적으로 양방향 신뢰 관계가 설정되어, 다른 도메인의 리소스를 접근할 수 있습니다.
ⅲ. 포리스트 (Forest)
트리들이 모여 이루어진 최상위 구조입니다.
서로 다른 도메인 트리들도 하나의 포리스트에 포함될 수 있으며, 포리스트 간에도 신뢰 관계를 설정하여 조직 내 여러 트리를 하나의 네트워크처럼 관리할 수 있습니다.예를 들어, company.com과 partner.com이라는 두 트리를 하나의 포리스트로 묶어 공통 보안 정책을 설정할 수 있습니다.
ⅳ. 조직 단위 (Organizational Unit, OU)
도메인 내 개체들을 논리적으로 그룹화하는 단위로, 부서, 팀, 위치 등 다양한 기준으로 개체를 분류할 수 있습니다.
OU는 AD에서 그룹 정책을 적용하거나 권한 위임을 설정하는 데 사용됩니다. 예를 들어, IT부서 OU에 IT 관련 사용자 및 컴퓨터를 포함시키고, IT 부서 담당자에게 해당 OU 관리 권한을 위임할 수 있습니다.
ⅴ. 사이트 (Site)
네트워크의 물리적 구성을 반영하여 AD에 정의되는 단위입니다.
네트워크 연결이 낮은 지사와 본사의 서버 간 복제 트래픽을 최적화하기 위해 사용되며, 사이트 내에서 복제 트래픽은 로컬로 전송되어 속도를 개선합니다. 예를 들어, 본사와 지사가 다른 지역에 위치할 때 사이트를 나누어 설정하여 복제 간격을 다르게 설정할 수 있습니다.

Ⅱ. Active Directory 관리 도구

ⅰ.. Active Directory 사용자 및 컴퓨터 (ADUC)
ADUC는 사용자를 생성하고 관리하며, 도메인 내의 컴퓨터, 그룹, OU 등의 개체를 관리할 수 있습니다.
사용자 관리: 새로운 사용자 계정을 생성하거나 비밀번호를 초기화할 수 있습니다. 사용자 계정 속성을 통해 보안 그룹을 지정하거나 프로파일 경로를 설정할 수 있습니다.
그룹 관리: 권한 설정을 위해 사용자를 그룹으로 나눕니다. 예를 들어, IT 관리자 그룹은 IT 관리 권한을 갖고, 일반 사용자 그룹은 제한된 권한을 가질 수 있습니다.
컴퓨터 관리: 도메인에 가입된 컴퓨터를 관리하며, 특정 컴퓨터에 맞춘 보안 정책을 적용할 수 있습니다.
ⅱ. Active Directory 사이트 및 서비스 (ADSS)
ADSS는 AD의 물리적 구성 요소인 사이트와 복제 트래픽을 관리합니다.
사이트 간 복제 관리: 사이트 간 복제 간격을 설정하여 트래픽 부하를 최소화할 수 있습니다. 지사 네트워크와 본사 네트워크 간 복제 주기를 조정하여 네트워크 부하를 줄일 수 있습니다.
서브넷 추가: 서브넷을 통해 네트워크 대역을 사이트에 연결하면, AD는 서브넷에 있는 컴퓨터를 자동으로 해당 사이트에 속하도록 구성합니다.
ⅲ. Active Directory 도메인 및 신뢰 관계
도메인 간 또는 포리스트 간의 신뢰 관계를 설정하여 자원 공유를 가능하게 합니다.
1) 양방향 신뢰: 두 도메인이 서로 신뢰하여 양쪽 도메인의 리소스에 접근할 수 있습니다.
2) 단방향 신뢰: 한쪽 도메인만 다른 도메인의 리소스에 접근할 수 있는 설정입니다.
ⅳ. Active Directory 스키마 (Schema)
AD 스키마는 AD에서 사용하는 모든 개체와 속성 유형을 정의합니다.
예를 들어, 사용자 개체에는 이름, 이메일, 전화번호 등의 속성이 기본으로 포함됩니다.
스키마 속성을 수정하여 추가 정보를 저장할 수 있지만, 변경 시 도메인 전체에 영향을 미치므로 신중히 다뤄야 합니다.

Ⅲ. 그룹 정책 (Group Policy) 관리

그룹 정책(GPO, Group Policy Object)은 중앙에서 사용자 및 컴퓨터 설정을 제어하는 데 사용됩니다.
ⅰ. 컴퓨터 구성
시스템 보안, 소프트웨어 설치, 네트워크 설정, 윈도우 업데이트 등을 중앙에서 설정하여 모든 컴퓨터에 적용할 수 있습니다.예를 들어, 보안 정책을 통해 비밀번호 복잡성 요구 사항을 설정하면 모든 도메인 사용자에게 동일한 보안 설정이 적용됩니다.
ⅱ. 사용자 구성
사용자별 설정으로, 바탕 화면 설정, 시작 메뉴, 인터넷 옵션 등 사용자 환경을 통제할 수 있습니다.
예를 들어, 로그인 스크립트를 설정하여 사용자가 로그인할 때 자동으로 지정된 프로그램을 실행하거나, 특정 파일 서버에 접근할 수 있도록 설정할 수 있습니다.

Ⅳ. Active Directory 관리 작업

ⅰ. 계정 생성 및 관리
일관성 있는 사용자 계정 네이밍 규칙을 사용하여 사용자 계정을 체계적으로 관리할 수 있습니다.
예를 들어, 사원의 이름과 부서명을 조합한 규칙을 정해 사용자 이름을 생성하고, 초기 비밀번호는 자동으로 설정되도록 하여 보안성을 유지할 수 있습니다.
ⅱ. 보안 그룹 관리
사용자 계정을 보안 그룹에 포함시켜 필요한 권한만 부여하도록 합니다. 이를 통해 최소 권한 원칙을 따를 수 있습니다.
예를 들어, 일반 사용자 그룹에는 기본 접근 권한만 부여하고, 관리자 그룹에는 추가 권한을 부여할 수 있습니다.
ⅲ. 백업 및 복구
AD 데이터의 주기적인 백업을 통해 문제 발생 시 데이터를 복구할 수 있도록 대비합니다.
윈도우 서버에서 제공하는 백업 기능을 사용하여 도메인 컨트롤러(DC) 상태를 주기적으로 백업하고 복구 계획을 수립해두는 것이 좋습니다.
ⅳ. 감사 정책
감사 정책을 설정하여 로그인 실패, 권한 변경 등의 보안 이벤트를 기록합니다. 이를 통해 비정상적인 활동을 추적하고, 침입 시도를 감지할 수 있습니다.

Ⅴ. Active Directory 모니터링

ⅰ. 이벤트 뷰어(Event Viewer)
AD의 각종 이벤트 로그를 기록하며, 이벤트 뷰어에서 복제 오류, 로그인 실패, 계정 잠금 등 AD 관련 이벤트를 모니터링할 수 있습니다.
ⅱ. AD 헬스 체크
dcdiag 명령어를 통해 도메인 컨트롤러의 상태를 점검할 수 있습니다. 이 명령어는 복제 상태, 네트워크 연결 상태 등을 검사하여 문제가 있는 부분을 알려줍니다.
ⅲ. 복제 상태 확인:
repadmin 명령어를 통해 도메인 컨트롤러 간 복제 상태를 확인하고, 복제 문제를 해결할 수 있습니다.