❤️ 프로젝트 지원
KO
EN English UK Українська PL Polski ES Español DE Deutsch FR Français PT Português TR Türkçe JA 日本語 KO 한국어 RU Русский

Active Directory

Active Directory(AD)는 Microsoft가 Windows 도메인 네트워크용으로 개발한 디렉터리 서비스로, 네트워크 내의 사용자, 컴퓨터 및 기타 리소스에 대한 중앙 집중식 관리를 제공합니다.

🌐 용어 다른 언어로:
English Deutsch Español Français 日本語 한국어 Polski Português Русский Türkçe Українська

Microsoft Active Directory(AD)는 Windows 도메인 네트워크를 위해 Microsoft에서 개발한 디렉터리 서비스입니다. 대부분의 엔터프라이즈 IT 인프라의 기본 구성 요소로, 네트워크 리소스의 중앙 집중식 관리 및 구성을 제공합니다. AD는 사용자, 컴퓨터, 그룹, 프린터 및 애플리케이션과 같은 개체에 대한 정보를 저장하고 이 정보를 사용자 및 관리자에게 제공합니다. AD의 핵심 기능은 도메인이라는 개념을 중심으로 이루어지며, 이는 네트워크 개체의 논리적 그룹입니다. 도메인 내에서 AD는 보안 정책을 시행하고, 사용자 인증 및 권한 부여를 관리하며, 리소스에 대한 액세스를 제어합니다. 계층적 구조를 활용하며, 일반적으로 트리 및 포리스트로 구성되어 확장성과 대규모 분산 조직 관리를 가능하게 합니다. AD에서 사용되는 주요 프로토콜에는 디렉터리 정보 쿼리 및 수정을 위한 LDAP(Lightweight Directory Access Protocol), 인증을 위한 Kerberos, 도메인 컨트롤러 및 기타 네트워크 리소스를 찾기 위한 DNS(Domain Name System)가 있습니다. AD Domain Services(AD DS)는 디렉터리 데이터베이스, 인증 및 권한 부여 서비스를 제공하는 주요 역할입니다. 기타 관련 서비스로는 공개 키 인프라를 위한 Active Directory Certificate Services(AD CS), 다른 조직 간의 싱글 사인온을 위한 Active Directory Federation Services(AD FS), 데이터 보호를 위한 Active Directory Rights Management Services(AD RMS)가 있습니다. 주요 단점은 설정 및 유지 관리의 복잡성으로 인해 전문적인 전문 지식이 필요하며, 제대로 구성 및 관리되지 않을 경우 pass-the-hash 공격 또는 Kerberoasting에 대한 취약성과 같은 잠재적인 보안 위험이 발생할 수 있다는 것입니다.

        graph LR
  Center["Active Directory"]:::main
  Pre_dns["dns"]:::pre --> Center
  click Pre_dns "/terms/dns"
  Pre_authentication["authentication"]:::pre --> Center
  click Pre_authentication "/terms/authentication"
  Pre_authorization["authorization"]:::pre --> Center
  click Pre_authorization "/terms/authorization"
  Rel_ldap["ldap"]:::related -.-> Center
  click Rel_ldap "/terms/ldap"
  Rel_kerberos["kerberos"]:::related -.-> Center
  click Rel_kerberos "/terms/kerberos"
  Rel_group_policy["group-policy"]:::related -.-> Center
  click Rel_group_policy "/terms/group-policy"
  classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
  classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
  classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
  classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
  linkStyle default stroke:#4b5563,stroke-width:2px;
🕸️ Open in Universe

🧒 5살도 이해할 수 있게 설명

Active Directory는 큰 회사의 본사와 같아서, 모든 사람의 이름표, 책상 위치, 출입 가능한 방을 추적하여 올바른 사람만 올바른 장소에 접근할 수 있도록 합니다.

🤓 Expert Deep Dive

Active Directory Domain Services(AD DS)는 사용자, 컴퓨터, 그룹 및 정책과 같은 네트워크 내 개체에 대한 정보를 저장하는 분산 계층 데이터베이스를 구현합니다. 인증을 위해 Kerberos 프로토콜(RFC 4120)에 의존하고 디렉터리 정보 쿼리 및 수정을 위해 LDAP(Lightweight Directory Access Protocol, RFC 4511)를 사용합니다. AD DS는 도메인, 트리 및 포리스트로 구성되어 리소스 관리를 위한 논리적 구조를 형성합니다. 각 도메인에는 자체 보안 경계가 있으며 하나 이상의 도메인 컨트롤러(DC)를 포함하여 디렉터리 데이터를 복제합니다. 복제는 단방향 또는 양방향일 수 있으며 일반적으로 멀티마스터 복제 모델을 사용합니다. 주요 아키텍처 구성 요소에는 NTDS.DIT 파일(JET Blue 데이터베이스), 그룹 정책 개체(GPO) 및 로그온 스크립트를 위한 SYSVOL 공유, 도메인 경계를 넘어서는 빠른 검색을 위해 포리스트의 모든 개체에 대한 부분 복제를 제공하는 글로벌 카탈로그(GC)가 있습니다. 인증에는 DC의 인증 서비스(AS)에서 티켓 부여 티켓(TGT)을 받은 다음 특정 리소스에 대한 서비스 티켓(ST)을 요청하는 데 사용됩니다. 권한 부여는 사용자 및 그룹의 보안 식별자(SID)를 참조하는 개체에 적용되는 액세스 제어 목록(ACL)을 통해 관리됩니다.

ldap
# 사용자 찾기를 위한 예제 LDAP 쿼리
(objectClass=user)(sAMAccountName=johndoe)

🔗 관련 용어

선행 지식:

📚 출처