마이크로소프트 Active Directory 설명

근무하는 곳에서 아래 Active Directory 동영상에 대한 정보를 받았다. 한 사람 건너서 꽤 오랬동안 알아온 강사분이다. 능력자로 알고 있다.

• 파트 1 :
  Active Directory를 살펴보기 전에 반드시 알아야 할 기본 지식 
  Microsoft Active Directory를 살펴보기 위해, 반드시 이해해야 할 기본 단어들에 대한 정의

• 파트 2 :
  Active Directory의 기초 개념, 1편 
  Microsoft Active Directory의 정의, 도메인(Domain), 조직 구성 단위(OU – Organizational Unit), 포리스트(Forest), 트리 및 트러스트(Trust)에 대한 기본 개념정의

• 파트 3 :
  Active Directory의 기초 개념, 2편 
  Microsoft Active Directory의 스키마(Schema), 파티션(Partition), 도메인 컨트롤러(DC – Domain Controller), 글로벌 카탈로그(GC – Global Catalog), 커베로스(Kerberos) 프로토콜 및 인증 프로세스, 작업 마스터(Operations Master)

• 파트 4 :
  Active Directory 도메인 컨트롤러(DC)의 설치, Active Directory내 서비스 조회 구조 및 DNS 서버 기본

• 파트 5 :
  서버 코어 및 전체 설치 버전의 Windows Server를 활용하여 Active Directory 추가 도메인 컨트롤러(DC)의 설치, Active Directory내 그룹 개체 이해 및 활용

• 파트 6 :
  Active Directory 도메인 컨트롤러간 복제(Replication)에 대한 이해 및 Active Directory 사이트(Site) 구성

• 파트 7 :
  Active Directory 그룹 정책의 기본 이해

 ---------

전체 동영상은 아래 CH9 사이트에서도 찾아볼 수 있다.

https://channel9.msdn.com/Search?term=active%20directory#ch9Search&pageSize=15&lang-ko=ko

■right vs permission

☞right ( 권한 )

- 할 수 있는 것(what to do )

- 그룹정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당(User right assignment)에서 "정책"으로 권한을 설정

- 예) "네트워크에서 이 컴퓨터 액세스"

  설명- 이 사용자 권한은 네트워크를 통해 컴퓨터에 연결할 수 있는 사용자 및 그룹을 결정합니다. 

  원격 데스크톱 서비스는 이 사용자 권한의 영향을 받지 않습니다.

☞permission( 사용권한 )

- "리소스"를 사용할 수 있는 사용자와 권한을 설정

- 파일/폴더 오른쪽 클릭 > 속성 창의 "보안" 탭에서 권한(CRUD)을 설정

■Workgroup vs Domain

- Where can i AUTHENTICATE & AUTHORIZE ?

- Workgroup에서는 복수의 머신 관리을 위해 "Mirrored Account"를 사용한다.

■Active Directory

☞구성요소 

- Object( Class의 인스턴스) - User object, Group object, GroupPolicy object

- Attribute

☞AD 사용

- 인증( Kerberos )

- 정보 조회(LDAP)

- Management

☞Domain

- 영향을 미칠 수 있는 범위

- one or more domain controller

☞OU

- 그룹정책 단위

- 권한 위임 단위

☞Forest

- 포함된 Domain의 schema는 같아야 함(객체 및 어트리뷰트가 동일해야 함)

- trust 기술 기반

☞AD DS(Directory Service ), 데이터베이스 구성

- Schema

- configuration

- Domain

- Application 

Schema, Configuration : Forest 전체 동일

Domain : 도메인 차원. 도메인별 설정 저장

Application : 어플리케이션 configuration 저장( ex, DNS )

☞ AD DS Logonon 프로세스

1) Client->DC, TGT( Ticket to Get Ticket )

2) Client->DC, TGS( Ticket to Get Service )

3) Client->Svr, 서비스 사용( DC <-> Svr 상호 신뢰로 DC에 인증 확인하는 절차 필요없음 )

3단계 인증 및 권한 부여 메커니즘 --> Kerberos(머리 3개 달린 동물 )

☞Operation master

- RID master

- Infrastructure master

- PDC emulator master

☞Active Directory 관리툴 3가지

- 뭐였지? "Active Direoctory 사용자 및 컴퓨터" 외