IBM Cloud Docs
Active Directory 개요

Active Directory 개요

마케팅 종료: 2025년 10월 31일부로 신규 고객에게는 VMware Solutions 오퍼링의 신규 배포가 더 이상 제공되지 않습니다. 기존 고객은 IBM Cloud® 에서 활성 VMware® 워크로드를 계속 사용하고 확장할 수 있습니다. 자세한 내용은 IBM Cloud 에서 마케팅 종료(VMware)를 참조하세요.

Active Directory™ (AD) 도메인 서비스는 DNS 이름 확인 서비스를 사용하여 도메인 컨트롤러를 찾고 디렉터리 서비스를 호스팅하는 도메인 컨트롤러가 서로 통신할 수 있도록 합니다. AD에는 논리 계층 구조 포함 구조가 있으습니다. 여기서, 최상위 레벨 컨테이너는 포리스트입니다. 포리스트 내에서는 도메인이고 도메인 내에서는 조직 단위(OU)입니다. 이 논리 모델은 배치의 실제 측면과는 관계가 없습니다.

Active Directory 용어

AD에서는 다음 용어를 사용합니다.

  • 포리스트 - 공통 논리 구조, 디렉토리 스키마, 디렉토리 구성 및 글로벌 카탈로그를 공유하는 하나 이상의 도메인의 콜렉션입니다. 동일한 포리스트의 도메인은 양방향 이행 신뢰 관계와 자동으로 연결됩니다.
  • 도메인 - 도메인은 포리스트의 파티션입니다. 데이터를 파티셔닝하면 조직이 필요한 위치에서만 데이터를 복제할 수 있습니다. 이러한 방식으로 디렉토리는 사용 가능한 대역폭이 제한된 네트워크를 통해 글로벌로 확장할 수 있습니다. 단일 인증 데이터베이스가 포함되는 네트워크의 영역입니다.
  • 스키마 - 디렉토리에 포함된 속성 및 오브젝트의 클래스, 이러한 오브젝트의 인스턴스에 대한 제사한사항 및 이름의 형식을 정의하는 규칙 세트입니다.
  • 도메인 제어기 - 도메인 제어기는 엔터프라이즈가 서버, 워크스테이션 및 애플리케이션을 효율적으로 관리할 수 있도록 서비스 및 데이터를 제공하는 것 외에도 Active Directory Domain Services 데이터베이스에 대한 물리적 스토리지를 제공합니다. Active Directory 데이터가 손상되지 않도록 도메인 제어기를 안전하게 보호하십시오.
  • 루트 도메인 - 루트 도메인에는 엔터프라이즈 관리자 및 스키마 관리자 그룹이 포함되어 있습니다. 이 서비스 관리자 그룹은 포리스트 레벨 오퍼레이션(예: 도메인의 추가 및 제거, 스키마에 대한 변경사항의 구현)을 관리하는 데 사용됩니다.
  • 상위 도메인 - 여러 도메인은 트리 구조를 형성하도록 함께 연결될 수 있습니다. 계층 구조에서 가장 높은 수준의 도메인을 부모 도메인이라고 하며, 여기에 연결된 하나 이상의 하위 도메인이 있습니다.
  • 하위 도메인(Child domain) - 이 도메인은 상위 도메인과 연결되고 상위의 주소 공간을 상속하므로, 하위는 하위 도메인(subdomain)입니다. 도메인에 대한 하위는 다른 도메인의 상위일 수 있습니다. 하위 도메인 이름에는 항상 전체 상위 도메인 이름이 포함됩니다. 자식 도메인과 부모 도메인은 양방향 전이적 신뢰를 공유합니다.
  • 글로벌 카탈로그 - 글로벌 카탈로그 서버는 포리스트에서 모든 Active Directory 오브젝트의 부분적인 사본을 저장하는 도메인 제어기입니다. 도메인의 디렉토리에 있는 모든 오브젝트의 전체 사본과 기타 모든 포리스트 도메인에 있는 모든 오브젝트의 부분적인 사본을 저장합니다. 사용자와 관리자는 데이터가 포함된 디렉토리의 도메인에 관계 없이 디렉토리 정보를 찾을 수 있습니다. 해당 포리스트의 멤버인 모든 도메인 제어기에 복제됩니다.
  • AD 사이트 - AD에서 사이트는 도메인 제어기에서 정의된 실제 또는 논리적 엔티티를 표시합니다. 각 사이트는 도메인과 연관되어 있습니다. 또한 각 사이트에는 해당 사이트에 속하는 IP 주소에 대한 IP 정의 또는 범위가 있습니다. 도메인 제어기는 클라이언트와 가장 가까운 사이트에 있는 도메인 제어기에 대해 AD 클라이언트에게 알려주기 위해 사이트 정보를 사용합니다.
  • 사이트 링크 - 사이트 링크는 AD 사이트 간의 링크를 설정하는 데 사용됩니다. 사이트 링크 특성(예: 스케줄, 복제 비용 및 간격)을 구성하여 사이트 간의 복제를 구성할 수 있습니다.
  • 신뢰 - 신뢰 관계는 공유 리소스에 대한 인증 및 권한을 허용하도록 도메인에 설정된 논리 관계입니다. 인증 프로세스에서는 사용자의 ID를 확인하고, 권한 프로세스에서는 컴퓨터 시스템 또는 네트워크에서 수행할 수 있는 사용자를 결정합니다.
  • 디렉토리 - AD는 디렉토리 정보의 논리 계층 조직을 기반으로 하여 구조화된 데이터 저장소를 사용합니다. 디렉토리라고도 하는 이 데이터 저장소에는 AD 오브젝트에 대한 정보가 포함되어 있습니다. 일반적으로 이 오브젝트에는 서버, 볼륨, 프린터 및 네트워크 사용자와 컴퓨터 계정과 같은 공유 리소스가 포함됩니다.
  • 복제 - 네트워크에서 디렉토리 데이터를 분배하는 서비스입니다. 도메인의 모든 도메인 제어기는 복제에 참여하며 해당 도메인에 대한 모든 디렉토리 정보의 전체 사본을 포함합니다. 디렉토리 데이터에 대한 모든 변경사항은 도메인의 모든 도메인 제어기에 복제됩니다.
  • 조직 단위 - OU는 도메인 내에서 컨테이너의 계층 구조를 형성하는 데 사용될 수 있습니다. OU는 그룹 정책의 애플리케이션 또는 권한 위임과 같은 관리 목적으로 오브젝트를 그룹화하는 데 사용됩니다. 제어(OU 및 OU 내부에 있는 오브젝트에 대한)는 OU 및 OU의 오브젝트에 있는 액세스 제어 목록(ACL)에 따라 결정됩니다. 많은 수의 오브젝트를 쉽게 관리할 수 있도록 Active Directory Domain Services는 권한의 위임에 대한 개념을 지원합니다. 위임을 사용하여 소유자는 오브젝트에 대한 전체 또는 제한된 관리 제어를 다른 사용자 또는 그룹에 전송할 수 있습니다. 위임은 관리 작업을 완료할 수 있도록 신뢰할 수 있는 여러 사람에게 많은 수의 개체를 분산 관리하는 데 도움이 되므로 중요합니다.
  • 기능 수준 - 기능 수준은 사용 가능한 Active Directory 도메인 서비스 도메인 또는 포리스트 기능 및 도메인 또는 포리스트의 도메인 컨트롤러에서 실행할 수 있는 Windows® Server 운영 체제를 결정합니다. 그러나 기능 레벨은 도메인 또는 포리스트에 결합된 워크스테이션 및 멤버 서버에서 실행할 수 있는 운영 체제에 영향을 주지 않습니다.

도메인 모델

고객이 온프레미스 또는 IBM Cloud®에서 도메인을 지정할 때 사용할 수 있는 일반적인 도메인 모델을 검토하십시오.

  • 하나의 포리스트, 하나의 도메인 모델
  • 하나의 포리스트, 여러 도메인 모델
  • 다중 포리스트 모델

포리스트 및 도메인 모델에 대한 자세한 내용은 논리 구조 설계하기를 참조하세요.

하나의 포리스트, 하나의 도메인 모델

하나의 포리스트, 하나의 도메인 모델은 관리하고 유지보수하는 데 가장 쉬운 모델입니다. 디자인은 하나의 도메인이 포함된 포리스트로 구성됩니다. 이는 유일한 도메인이므로, 포리스트 루트 도메인이며 포리스트 및 리소스 오브젝트에 있는 모든 사용자 및 그룹 계정을 포함합니다. 일부 엔터프라이즈의 경우 이 모델만 있으면 됩니다. 그러나 좀 더 복잡한 엔터프라이즈는 이 모델을 사용할 수 없습니다.

하나의 포리스트, 여러 도메인 모델

하나의 포리스트, 여러 도메인 모델은 대형 엔터프라이즈에서 사용되며, 포리스트에는 여러 지역 위치 또는 여러 비즈니스 단위에 분산된 많은 사용자가 포함됩니다. 각 위치에 고유한 도메인이 있으면 위치 간 복제 트래픽이 줄어듭니다. 관리의 용이성은 종종 여러 비즈니스 단위에 사용되는 도메인의 유스 케이스입니다. 이 도메인 모델은 포리스트 루트 도메인과 하나 이상의 지역 도메인으로 구성됩니다. 종종 포리스트 루트 도메인은 엔터프라이즈 관리자 및 스키마 관리자 그룹으로만 제한됩니다. 이러한 그룹은 포리스트 레벨 오퍼레이션(예: 도메인의 추가 및 제거, 스키마에 대한 변경사항의 구현)을 관리하는 데 사용됩니다.

여러 도메인 모델 디자인의 작성에는 포리스트 루트 도메인인 도메인을 식별하고 복제 요구사항을 충족시키는 데 필요한 추가 도메인 수를 판별하는 작업이 포함됩니다. 이 도메인은 도메인 구조가 조직 구조를 반영해야 하는 방법에 따라 상위 또는 하위 도메인이 될 수 있습니다. 일반적으로 관리할 도메인은 가능한 한 적게 보유하는 것이 좋습니다. 복잡도를 줄이기 위해 엔터프라이즈는 보안상의 이점이 있는 리소스를 서로 다른 도메인과 하위 도메인으로 분리하는 것과 복잡도를 균형있게 조정해야 합니다.

여러 포리스트 모델

엔터프라이즈가 기타 엔터프라이즈의 기타 그룹에서 데이터 격리 또는 서비스 격리가 필요한 그룹을 포함하는 경우 여러 포리스트 모델은 이 그룹에 맞게 별도의 포리스트를 작성하는 데 사용될 수 있습니다. 도메인은 데이터 격리 또는 서비스 격리를 제공하지 않습니다. 포리스트 서비스 관리자는 포리스트의 모든 리소스에 대한 전체 액세스 권한을 갖고 있습니다. 이 액세스는 차단할 수 없으므로 이 그룹에 액세스할 수 없는 리소스가 있는 경우 이러한 리소스는 다른 포리스트에 배치해야 합니다.

여러 포리스트 모델에서는 엔터프라이즈가 병합된 위치도 표시하며, 두 개의 엔터프라이즈에는 두 개의 다른 Active Directory Domain Services 구조가 있습니다.

다음 세 가지 포리스트 모델을 검토하세요:

  • 조직 포리스트 모델 - 이 모델에서 사용자 계정 및 리소스는 두 포리스트에 포함되어 있으나 독립적으로 관리됩니다. 포리스트가 포리스트 외부의 사용자가 액세스할 수 없도록 구성된 경우 이 모델은 자율성과 격리를 제공할 수 있습니다. 조직 포리스트의 사용자가 기타 포리스트의 리소스에 액세스해야 하거나 그 반대의 경우, 신뢰 관계가 하나의 조직 포리스트와 기타 포리스트 간에 설정될 수 있습니다.
  • 리소스 포리스트 모델 - 이 모델에서 별도의 포리스트가 리소스를 관리하는 데 사용되고 이 포리스트에는 서비스 관리자 이외의 사용자 계정이 포함되지 않습니다. 기타 포리스트의 사용자가 리소스 포리스트에 포함된 리소스에 액세스할 수 있도록 포리스트 신뢰가 설정됩니다. 이 모델은 서비스 격리를 제공합니다.
  • 액세스 제한 포리스트 모델 - 이 모델에서는 기업의 나머지 부분과 격리되어야 하는 사용자 계정 및 리소스를 포함하기 위해 별도의 포리스트가 만들어집니다. 포리스트 사이에 신뢰가 존재하지 않으므로, 한 포리스트의 사용자는 다른 포리스트에 대한 액세스 권한을 부여할 수 없습니다. 예를 들어, 이 모델은 인프라 관리 서비스를 제공할 수 있는 서비스 제공자가 채택하기도 합니다. 이 모델에서 사용자가 두 포리스트에서 리소스에 액세스해야 하는 경우 사용자는 한 포리스트에서 하나의 계정을 보유하고 다른 포리스트에서 별도의 사용자 계정을 보유합니다. 이 모델은 데이터 격리를 제공합니다. 제한된 액세스 포리스트 모델은 VMware Cloud Foundation for Classic - Automated 인스턴스를 프로비저닝할 때 만들어집니다.