액티브 디렉토리란 무엇이며 어떻게 작동합니까?
액티브 디렉터리(광고)는 마이크로소프트의 독점 디렉터리 서비스입니다. 그것은 윈도우 서버에서 실행 및 네트워크 리소스에 대한 권한 및 액세스를 관리하는 관리자를 할 수 있습니다.
활성 디렉터리는 데이터를 개체로 저장합니다. 개체는 사용자,그룹,응용 프로그램 또는 프린터와 같은 장치와 같은 단일 요소입니다. 개체는 일반적으로 프린터 또는 컴퓨터와 같은 리소스 또는 사용자 또는 그룹과 같은 보안 주체로 정의됩니다.
활성 디렉터리는 디렉터리 개체를 이름 및 특성별로 분류합니다. 예를 들어 사용자 이름에는 암호 및 보안 셸 키와 같은 사용자와 관련된 정보와 함께 이름 문자열이 포함될 수 있습니다.
활성 디렉터리의 주요 서비스는 디렉터리 정보를 저장하고 사용자와 도메인의 상호 작용을 처리하는 도메인 서비스입니다. 사용자가 장치에 로그인하거나 네트워크를 통해 서버에 연결을 시도할 때 액세스를 확인합니다. 각 리소스에 액세스할 수 있는 사용자와 그룹 정책을 제어합니다. 예를 들어 관리자는 일반적으로 최종 사용자와 다른 수준의 데이터 액세스 권한을 갖습니다.
도메인 컨트롤러입니다.
액티브 디렉터리 서비스
여러 다른 서비스가 액티브 디렉터리로 구성됩니다. 주요 서비스가 도메인을 서비스하지만,활성 디렉터리를 포함한 디바이스(광고 LDS),Lightweight Directory Access Protocol(LDAP),증 서비스 또는 광고 CS,페더레이션 서비스(광고 FS)및 권한 관리 서비스 AD(RMS). 이러한 각 서비스는 제품의 디렉터리 관리 기능을 확장합니다.
- 경량 디렉토리 서비스는 애플리케이션 프로그램 인터페이스와 같은 유사한 기능을 공유하는 광고 디에스와 동일한 코드베이스를 갖는다. 그러나 광고 후기 성도,,하나의 서버에서 여러 인스턴스에서 실행할 수 있습니다 및 경량 디렉터리 액세스 프로토콜을 사용 하 여 데이터 저장소에 디렉터리 데이터를 보유 하 고 있습니다.
- 경량 디렉터리 액세스 프로토콜은 네트워크를 통해 디렉터리 서비스에 액세스하고 유지 관리하는 데 사용되는 응용 프로그램 프로토콜입니다. 사용자 이름 및 암호와 같은 개체를 활성 디렉터리와 같은 디렉터리 서비스에 저장하고 네트워크를 통해 해당 개체 데이터를 공유합니다.
- 인증서 서비스는 인증서를 생성,관리 및 공유합니다. 인증서는 암호화를 사용하여 사용자가 인터넷을 통해 공개 키를 사용하여 안전하게 정보를 교환할 수 있도록 합니다.
- 액티브 디렉터리 페더레이션 서비스는 서로 다른 네트워크에서도 여러 응용 프로그램에 대한 사용자 액세스를 인증합니다. 이름에서 알 수 있듯이 각 서비스에 대해 여러 개의 전용 인증 키를 사용하는 대신 사용자가 한 번만 로그온해야 합니다.
- 권한 관리 서비스는 정보 권한 및 관리를 제어합니다. 이메일 또는 마이크로소프트 워드 문서와 같은 콘텐츠를 서버에 암호화하여 액세스를 제한합니다.
액티브 디렉터리 도메인 서비스의 주요 기능
액티브 디렉터리 도메인 서비스는 도메인,트리 및 포리스트로 구성된 계층형 레이아웃 구조를 사용하여 네트워크로 연결된 요소를 조정합니다.
도메인은 주요 계층 중 가장 작은 반면 포리스트는 가장 큰 도메인입니다. 동일한 데이터베이스를 공유하는 사용자 및 장치와 같은 다른 개체는 동일한 도메인에 있습니다. 트리는 계층적 트러스트 관계와 함께 그룹화된 하나 이상의 도메인입니다. 숲은 여러 나무의 그룹입니다. 포리스트는 보안 경계를 제공하는 반면,공통 데이터베이스를 공유하는 도메인은 인증 및 암호화와 같은 설정에 대해 관리할 수 있습니다.
- 도메인은 동일한 광고 데이터베이스를 공유하는 사용자 또는 장치와 같은 개체 그룹입니다. 도메인에는 도메인 이름 시스템
- 트리가 함께 그룹화된 하나 이상의 도메인입니다. 트리 구조는 인접한 네임스페이스를 사용하여 논리 계층에서 도메인 컬렉션을 수집합니다. 트리는 두 도메인 간에 보안 연결 또는 트러스트가 공유되는 트러스트 관계로 볼 수 있습니다. 한 도메인이 두 번째 도메인을 신뢰할 수 있고 두 번째 도메인이 세 번째 도메인을 신뢰할 수있는 여러 도메인을 신뢰할 수 있습니다. 이 설정의 계층 적 특성으로 인해 첫 번째 도메인은 명시 적 신뢰없이 세 번째 도메인을 암시 적으로 신뢰할 수 있습니다.
- 포리스트는 여러 개의 트리 그룹입니다. 포리스트는 공유 카탈로그,디렉터리 스키마,응용 프로그램 정보 및 도메인 구성으로 구성됩니다. 스키마는 포리스트에 있는 개체의 클래스 및 특성을 정의합니다. 또한 글로벌 카탈로그 서버는 포리스트에 있는 모든 개체의 목록을 제공합니다. 마이크로 소프트에 따르면,포리스트는 활성 디렉토리의 보안 경계입니다.
- 조직 구성 단위는 사용자,그룹 및 장치를 구성합니다. 각 도메인에는 자체 도메인이 포함될 수 있습니다. 그러나 도메인의 각 사용자 또는 개체는 고유해야 하므로 별도의 네임스페이스를 가질 수 없습니다. 예를 들어 동일한 사용자 이름을 가진 사용자 계정을 만들 수 없습니다.
- 컨테이너는 다음과 비슷하지만 그룹 정책 개체를 컨테이너 개체에 적용하거나 연결할 수 없습니다.
트러스팅 용어
액티브 디렉터리는 트러스트를 사용하여 도메인 간의 리소스 액세스 권한을 조정합니다. 트러스트에는 여러 가지 유형이 있습니다:
- 단방향 트러스트는 첫 번째 도메인에서 두 번째 도메인의 사용자에게 액세스 권한을 허용하는 경우입니다. 그러나 두 번째 도메인은 첫 번째 도메인의 사용자에 대한 액세스를 허용하지 않습니다.
- 양방향 트러스트는 두 개의 도메인이 있고 각 도메인이 다른 도메인의 사용자에 대한 액세스를 허용하는 경우입니다.
- 트러스트된 도메인은 트러스트 도메인이라고 하는 다른 도메인에 대한 사용자 액세스를 허용하는 단일 도메인입니다.
- 전이적 트러스트는 두 도메인을 넘어 확장될 수 있으며 포리스트 내의 다른 트러스트된 도메인에 대한 액세스를 허용할 수 있습니다.
- 자동 트러스트는 두 도메인으로 제한되는 단방향 트러스트입니다.
- 명시적 신뢰는 네트워크 관리자가 만든 단방향 비전환적 신뢰입니다.
- 교차 링크 신뢰는 명시적 신뢰의 한 유형입니다. 교차 링크 트러스트는 1)동일한 트리 내에서 두 도메인 사이에 자식-부모 관계가 없거나 2)다른 트리 내에서 도메인 간에 발생합니다.
- 포리스트 트러스트는 전체 포리스트 내의 도메인에 적용되며 단방향,양방향 또는 전이적일 수 있습니다.
- 바로 가기는 별도의 트리에 속하는 두 개의 도메인을 조인합니다. 바로 가기는 단방향,양방향 또는 전이 일 수 있습니다.
- 영역은 전이적,자동적,단방향 또는 양방향 트러스트입니다.
- 외부 트러스트는 별도의 포리스트 또는 광고가 아닌 도메인에 걸쳐 도메인을 연결하는 트러스트입니다. 외부 트러스트는 비전환,단방향 또는 양방향 일 수 있습니다.개인 액세스 관리 트러스트는 프로덕션 포리스트와 요새 포리스트 간에 생성되는 단방향 트러스트입니다.
역사와 액티브 디렉토리의 개발
마이크로 소프트는 1999 년에 액티브 디렉토리의 미리보기를 제공하고 윈도우 2000 서버와 함께 년 후 발표했다. 마이크로 소프트는 각각의 연속 윈도우 서버 릴리스와 함께 새로운 기능을 개발하는 것을 계속했다.
윈도우 서버 2003 포리스트를 추가하는 주목할만한 업데이트와 포리스트 내에서 도메인의 위치를 편집하고 변경할 수있는 기능이 포함되어 있습니다. 서버 2003 에서 실행되는 최신 광고 업데이트를 지원할 수 없습니다.2008 년 윈도우 서버 2008 이 도입되었습니다. 또한,마이크로소프트는 도메인 관리를 위한 디렉토리를 광고 디에스로 재 브랜딩했고,광고는 그것이 지원하는 디렉토리 기반 서비스에 대한 포괄적인 용어가 되었다.
윈도우 서버 2016 은 광고 보안을 개선하고 광고 환경을 클라우드 또는 하이브리드 클라우드 환경으로 마이그레이션하도록 업데이트했습니다. 보안 업데이트는 팸의 추가를 포함.
팸은 객체에 대한 액세스,부여 된 액세스 유형 및 사용자가 수행 한 작업을 모니터링했습니다. 팸은 추가적인 안전하고 고립 된 산림 환경을 제공하기 위해 요새 광고 숲을 추가했습니다. 윈도우 서버 2016 는 윈도우 서버 2003 년에 장치를 위한 지원을 끝냈습니다.2016 년 12 월,마이크로소프트는 애저 애드 커넥트를 출시하여 온-프레미스 액티브 디렉토리 시스템에 애저 애드 액티브 디렉토리(애저 애드 애드)를 도입하여 마이크로소프트의 클라우드 서비스(예:오피스 365)를 지원했다. 하늘빛 광고는 윈도우 서버 2008 년,윈도우 서버 2012 년,윈도우 서버 2016 년 및 윈도우 서버 2019 년을 달리는 체계를 사용합니다 연결합니다.
도메인 대 작업 그룹
작업 그룹은 피어-투-피어 네트워크를 통해 연결된 윈도우 시스템에 대한 마이크로 소프트의 용어입니다. 작업 그룹은 네트워크에서 윈도우 컴퓨터에 대한 조직의 또 다른 단위입니다. 작업 그룹을 통해 이러한 컴퓨터는 네트워크를 통해 파일,인터넷 액세스,프린터 및 기타 리소스를 공유 할 수 있습니다. 피어 투 피어 네트워킹은 인증을 위해 서버가 필요하지 않습니다. 도메인과 작업 그룹 간에는 몇 가지 차이점이 있습니다:
- 도메인은 작업 그룹과 달리 다른 로컬 네트워크의 컴퓨터를 호스팅 할 수 있습니다.
- 도메인은 작업 그룹보다 더 많은 컴퓨터를 호스팅하는 데 사용할 수 있습니다. 도메인에는 일반적으로 상한이 20 에 가까운 작업 그룹과 달리 수천 대의 컴퓨터가 포함될 수 있습니다.
- 도메인에서 하나 이상의 서버는 도메인 내의 모든 컴퓨터에 대한 사용 권한 및 보안 기능을 제어하는 데 사용되는 컴퓨터입니다. 작업 그룹에는 서버가 없으며 컴퓨터는 모두 피어입니다.
- 도메인 사용자는 일반적으로 작업 그룹과 달리 로그인 및 암호와 같은 보안 식별자가 필요합니다.
액티브 디렉토리에 주요 경쟁
광고와 유사한 기능을 제공하는 시장에 다른 디렉토리 서비스를 포함 레드햇 디렉토리 서버,아파치 디렉토리와 오픈 답.
레드햇 디렉터리 서버는 유닉스 환경에서 여러 시스템에 대한 사용자 액세스를 관리합니다. 이 인증서는 사용자 식별 및 인증서 기반 인증을 통해 디렉터리의 데이터에 대한 액세스를 제한할 수 있습니다.
아파치 디렉토리에는 스키마 브라우저와 랩 편집기 및 브라우저가 포함되어 있습니다. 아파치 디렉토리는 이클립스 플러그인을 지원합니다.
사용자가 검색,검색 및 편집 할 수 있습니다. 이 프로그램은 자바 바이트코드 프로그램의 갯수를 카운트하고,스크립트의 메인 형식을 합계냅니다,그리고 확인되지 않은 실행 텍스트 파일을 찾습니다..
활성 디렉터리 기본 사항에 대해 알아보려면 이 개요를 읽으십시오.
활성 디렉터리의 일반적인 문제를 해결하는 데 사용할 수 있는 기술과 복제 문제 해결에 대한 팁을 알아봅니다.