Active Directory(AD)는 Microsoft에서 개발한 디렉터리 서비스로, Windows Server 환경에서 사용자, 컴퓨터, 네트워크 리소스를 중앙에서 관리할 수 있도록 설계되었습니다.
1. Active Directory의 개념
AD는 조직 내의 IT 자원을 효율적으로 관리하고, 사용자 인증 및 권한 부여를 담당하는 계층적 데이터베이스 시스템입니다.
즉, 기업이나 기관에서 사용자 계정, 그룹, 컴퓨터, 프린터, 파일 공유 등을 중앙에서 관리할 수 있습니다.
2. Active Directory의 주요 구성 요소
1) 도메인(Domain)
- AD의 기본 단위로, 하나의 조직을 논리적으로 구분하는 경계 역할을 합니다.
- 사용자 계정, 그룹, 컴퓨터, 정책을 한곳에서 관리할 수 있음
- 예:
company.com, corp.local 등
2) 도메인 컨트롤러(Domain Controller, DC)
- AD의 핵심 서버로, 사용자 인증(Authentication)과 권한 부여(Authorization)를 담당
- DC는 LDAP 프로토콜을 통해 디렉터리 정보를 저장하고 관리
3) 트리(Tree)와 포레스트(Forest)
- 트리(Tree): 여러 개의 도메인이 계층적으로 구성된 구조
- 포레스트(Forest): 여러 개의 트리(Tree)를 포함하는 가장 큰 단위
4) 조직 단위(Organizational Unit, OU)
- AD 내에서 **사용자, 그룹, 컴퓨터, 정책(GPO)**을 논리적으로 구성하는 단위
- 예: 부서별(IT, HR, Finance) 또는 프로젝트별 구성 가능
5) 그룹(Group)
- 사용자를 묶어 권한 및 보안 정책을 일괄 적용하는 개념
- 보안 그룹(Security Group)과 배포 그룹(Distribution Group)으로 구분됨
6) 그룹 정책 객체(Group Policy Object, GPO)
- 특정 OU, 사용자, 컴퓨터에 대한 보안 설정 및 환경 설정을 자동 적용할 수 있는 기능
- 예: 비밀번호 정책 설정, 화면 보호기 강제 설정, 네트워크 공유 제한
3. Active Directory의 기능
1) 중앙 집중식 계정 관리
- 사용자 및 그룹을 한 곳에서 관리하여 보안과 운영 효율성 향상
2) 사용자 인증(Authentication)과 권한 부여(Authorization)
- 사용자가 Windows에 로그인할 때, Kerberos 인증 또는 NTLM 인증을 통해 인증됨
- 로그인한 사용자에게 적절한 권한을 부여하여 파일 접근 및 네트워크 사용을 제어
3) SSO(Single Sign-On) 지원
- 한 번 로그인하면 동일한 네트워크 내의 여러 애플리케이션과 서비스에 추가 로그인 없이 접근 가능
4) 정책 기반 관리(Group Policy)
- 보안 설정, 소프트웨어 배포, 네트워크 설정 등을 조직 전체에 자동으로 적용
5) 확장성과 보안성
- 소규모 조직부터 대규모 엔터프라이즈 환경까지 확장 가능
- LDAP, Kerberos, NTLM 등을 활용한 강력한 보안 기능 제공
4. Active Directory 관련 기술
1) LDAP (Lightweight Directory Access Protocol)
- AD는 LDAP 프로토콜을 사용하여 디렉터리 정보를 저장하고 관리
- LDAP를 이용하면 타 시스템과 AD 연동 가능 (ex: Linux 서버에서 AD 인증 사용)
2) Kerberos 인증
- AD에서 기본적으로 사용하는 인증 프로토콜로, 티켓 기반 인증(TGT, Ticket Granting Ticket)을 활용
- 패스워드를 네트워크에서 직접 전달하지 않아 보안성이 높음
3) NTLM (NT LAN Manager)
- Kerberos 이전에 사용되던 Windows의 오래된 인증 프로토콜
- 여전히 일부 환경에서 사용되지만 보안이 취약하여 Kerberos 사용 권장
5. Active Directory의 활용 예시
1) 기업 환경에서 사용자 계정 관리
- 직원들이 Windows PC에 로그인할 때 AD 계정을 사용하여 인증
- 퇴사자의 계정을 중앙에서 비활성화하여 보안 유지
2) 파일 및 프린터 공유 관리
- 특정 부서(예: HR)만 접근할 수 있도록 파일 서버 권한 관리
- 공용 프린터 사용 권한을 특정 그룹에만 부여
3) IT 보안 정책 적용
- 모든 컴퓨터에서 USB 사용 금지 정책을 GPO로 설정
- 회사 내부 네트워크에서만 특정 애플리케이션 실행 허용
6. Active Directory 대체 솔루션
- Microsoft Entra ID (구 Azure AD): 클라우드 기반 AD 서비스
- FreeIPA: Linux 기반의 AD 대체 솔루션
- OpenLDAP: 오픈소스 LDAP 디렉터리 서비스
7. 결론
Active Directory는 기업의 IT 환경에서 사용자 인증, 권한 부여, 보안 정책 적용을 체계적으로 관리하는 필수적인 기술입니다.
특히 Windows 환경에서 효율적인 계정 관리와 보안 강화를 위해 AD와 GPO를 적극적으로 활용하는 것이 중요합니다.