보안

Active Directory(AD)

Active Directory(AD)는 Microsoft에서 개발한 디렉터리 서비스로, Windows Server 환경에서 사용자, 컴퓨터, 네트워크 리소스를 중앙에서 관리할 수 있도록 설계되었습니다.

1. Active Directory의 개념

AD는 조직 내의 IT 자원을 효율적으로 관리하고, 사용자 인증 및 권한 부여를 담당하는 계층적 데이터베이스 시스템입니다.
즉, 기업이나 기관에서 사용자 계정, 그룹, 컴퓨터, 프린터, 파일 공유 등을 중앙에서 관리할 수 있습니다.

2. Active Directory의 주요 구성 요소

1) 도메인(Domain)

  • AD의 기본 단위로, 하나의 조직을 논리적으로 구분하는 경계 역할을 합니다.
  • 사용자 계정, 그룹, 컴퓨터, 정책을 한곳에서 관리할 수 있음
  • 예: company.com, corp.local

2) 도메인 컨트롤러(Domain Controller, DC)

  • AD의 핵심 서버로, 사용자 인증(Authentication)과 권한 부여(Authorization)를 담당
  • DC는 LDAP 프로토콜을 통해 디렉터리 정보를 저장하고 관리

3) 트리(Tree)와 포레스트(Forest)

  • 트리(Tree): 여러 개의 도메인이 계층적으로 구성된 구조
  • 포레스트(Forest): 여러 개의 트리(Tree)를 포함하는 가장 큰 단위

4) 조직 단위(Organizational Unit, OU)

  • AD 내에서 **사용자, 그룹, 컴퓨터, 정책(GPO)**을 논리적으로 구성하는 단위
  • 예: 부서별(IT, HR, Finance) 또는 프로젝트별 구성 가능

5) 그룹(Group)

  • 사용자를 묶어 권한 및 보안 정책을 일괄 적용하는 개념
  • 보안 그룹(Security Group)배포 그룹(Distribution Group)으로 구분됨

6) 그룹 정책 객체(Group Policy Object, GPO)

  • 특정 OU, 사용자, 컴퓨터에 대한 보안 설정 및 환경 설정을 자동 적용할 수 있는 기능
  • 예: 비밀번호 정책 설정, 화면 보호기 강제 설정, 네트워크 공유 제한

3. Active Directory의 기능

1) 중앙 집중식 계정 관리

  • 사용자 및 그룹을 한 곳에서 관리하여 보안과 운영 효율성 향상

2) 사용자 인증(Authentication)과 권한 부여(Authorization)

  • 사용자가 Windows에 로그인할 때, Kerberos 인증 또는 NTLM 인증을 통해 인증됨
  • 로그인한 사용자에게 적절한 권한을 부여하여 파일 접근 및 네트워크 사용을 제어

3) SSO(Single Sign-On) 지원

  • 한 번 로그인하면 동일한 네트워크 내의 여러 애플리케이션과 서비스에 추가 로그인 없이 접근 가능

4) 정책 기반 관리(Group Policy)

  • 보안 설정, 소프트웨어 배포, 네트워크 설정 등을 조직 전체에 자동으로 적용

5) 확장성과 보안성

  • 소규모 조직부터 대규모 엔터프라이즈 환경까지 확장 가능
  • LDAP, Kerberos, NTLM 등을 활용한 강력한 보안 기능 제공

4. Active Directory 관련 기술

1) LDAP (Lightweight Directory Access Protocol)

  • AD는 LDAP 프로토콜을 사용하여 디렉터리 정보를 저장하고 관리
  • LDAP를 이용하면 타 시스템과 AD 연동 가능 (ex: Linux 서버에서 AD 인증 사용)

2) Kerberos 인증

  • AD에서 기본적으로 사용하는 인증 프로토콜로, 티켓 기반 인증(TGT, Ticket Granting Ticket)을 활용
  • 패스워드를 네트워크에서 직접 전달하지 않아 보안성이 높음

3) NTLM (NT LAN Manager)

  • Kerberos 이전에 사용되던 Windows의 오래된 인증 프로토콜
  • 여전히 일부 환경에서 사용되지만 보안이 취약하여 Kerberos 사용 권장

5. Active Directory의 활용 예시

1) 기업 환경에서 사용자 계정 관리

  • 직원들이 Windows PC에 로그인할 때 AD 계정을 사용하여 인증
  • 퇴사자의 계정을 중앙에서 비활성화하여 보안 유지

2) 파일 및 프린터 공유 관리

  • 특정 부서(예: HR)만 접근할 수 있도록 파일 서버 권한 관리
  • 공용 프린터 사용 권한을 특정 그룹에만 부여

3) IT 보안 정책 적용

  • 모든 컴퓨터에서 USB 사용 금지 정책을 GPO로 설정
  • 회사 내부 네트워크에서만 특정 애플리케이션 실행 허용

6. Active Directory 대체 솔루션

  • Microsoft Entra ID (구 Azure AD): 클라우드 기반 AD 서비스
  • FreeIPA: Linux 기반의 AD 대체 솔루션
  • OpenLDAP: 오픈소스 LDAP 디렉터리 서비스

7. 결론

Active Directory는 기업의 IT 환경에서 사용자 인증, 권한 부여, 보안 정책 적용을 체계적으로 관리하는 필수적인 기술입니다.
특히 Windows 환경에서 효율적인 계정 관리와 보안 강화를 위해 AD와 GPO를 적극적으로 활용하는 것이 중요합니다.

zerg96

Recent Posts

충격! 코스피 8% 폭락에 SK텔레콤 AI 차단까지 – 한국의 AI 도박이 터졌다

코스피 8% 폭락, 서킷브레이커 발동, SK텔레콤 Claude AI 차단까지. 한국의 AI 레버리지 버블이 단 하루…

2주 ago

당신 얼굴이 이미 쓰이고 있다… AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

당신 얼굴이 이미 쓰이고 있다 — AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

달러·원 환율 급등, 지금 당신이 꼭 알아야 할 것들

달러/원 환율이 급등하는 이유와 실생활 영향을 정리했습니다. 지금 당장 활용할 수 있는 환전·투자 대응 전략까지…

3주 ago

미래에셋·미래에셋벤처투자·미래에셋생명 동반 급등, 스페이스X와 무슨 관계?

미래에셋·미래에셋벤처투자·미래에셋생명이 동반 급등한 이유는 스페이스X 상장 기대감입니다. 세 회사가 스페이스X와 어떻게 연결되어 있는지 상세히 분석했습니다.

3주 ago

스페이스X 상장 D-데이? 일론 머스크가 절대 말 안 하는 진짜 이유

스페이스X 상장이 계속 미뤄지는 진짜 이유를 파헤쳤습니다. 화성 계획, 스타링크 분리, 국방 계약... 머스크가 절대…

3주 ago