AZ-800 (AD)

- 주어진 범위 내에서 관리 = "Administion"
- 범위 외 관리 = "Management"

사용자 인증
- 기본 : SAM DB로 인증처리(개인)
- 중/고급 : AD로 인증처리(기업)
(SAM : lusrmgr.msc 혹은 netusers / AD : AD관리도구 를 통해 확인할 수 있다.)

사진 출처 https://docs.env0.com/docs/azure-active-directory

AD(Active Directory) 

:  네트워크 상의 모든 리소스에 관한 정보(사용자 및 컴퓨터, 그룹 등)를 논리적 계층 구조로 중앙 저장소에 저장하여 네트워크 상에서 인증을 통해 언제 어디서라도 그 리소스를 검색하고 엑세스 할 수 있게 해주는 디렉터리 서비스 

 

AD를 통해 직원들에게는 편리함을 주고 관리자는 보안(사용자 인증과 접근 권한 제어)을 구현할 수 있다.

 

ex) AD로 도메인을 형성 → 사용자가 로그인할 때 AD에 속한 계정으로 로그인 → 별도의 인증 작업을 할 필요가 없다

 

---

AD DS(AD Domain Service)

: 사용자, 주변 장치 등의 정보를 네트워크 상에 저장하고 이 정보들을 관리자가 통합하여 관리하도록 해준다. AD DS 를 사용하기 위해선 DNS서버를 설치해야 한다.

 

※ AD DS를 통하여 아래와 같은 작업이 가능하다

• 앱의 설치, 구성, 업데이트
• 보안 인프라 관리
• 원격 액세스 서비스 및 DirectAccess를 사용하도록 설정
• 디지털 인증서 발급 및 관리

AD DS는 논리적 및 물리적 구성 요소를 모두 포함한다.

ⓐ 논리적 구성요소 : 조직에 적합한 AD DS 설계를 구현하는 데 사용하는 구조

• 파티션: 복제 단위
• 스키마: AD DS에서 생성되는 개체를 정의하는 데 사용하는 개체 형식 및 특성의 정의 집합
• 도메인
  : AD의 가장 기본이 되는 단위. AD가 설치된 윈도우 서버가 하나의 도메인이라고 보면 된다. 즉, 관리를 하기 위한 하나의 큰 범위 단위이다. 회사와 같은 것 
• 도메인 트리: 도메인의 집합. 부모 도메인 및 연속 DNS 네임스페이스를 공유하는 도메인의 계층 구조 집합.
• 포리스트: 두 개 이상의 트리로 AD가 구성된 것. 같은 포리스트 안의 도메인 사이에는 상호 양방향 전이 트러스트를 갖는다.(서로 신뢰)
• 조직 구성 단위(Organization Unit, OU): 조직, 부서와 같은 것. 일종의 폴더와 같은 개념(권한 위임과 그룹 정책을 적용할 수 있는 최소한의 단위)
• 컨테이너

ⓑ 물리적 구성요소 : 구체적인 개체 또는 실제 세계의 구체적인 구성 요소를 설명하는 개체

• 도메인 컨트롤러(Domain Controller, DC)
  : AD가 설치된 컴퓨터. AD 설치를 통해 도메인을 만들고 이를 운영(로그인, 이용 권한 확인, 새로운 사용자 등록, 암호 변경, 그룹 등을 처리)한다. AD DS DB의 복사본을 포함한다. DC는 변경 내용을 처리하고 도메인에 있는 다른 모든 DC에게 변경 내용을 복제할 수 있다. 회사의 대표/사장과 같은 것
  DC가 여러개 있으면 가용성이 좋고(하나가 죽어도 됨) 보안성이 좋다.
• 데이터 저장소
• 글로벌 카탈로그
  : AD 트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장하는 통합 저장소. 
  AD를 구성하면 가상 먼저 설치하는 DC가 글로벌 카탈로그 서버로 지정된다. 글로벌 카탈로그를 사용하면 포리스트의 다른 도메인에 있는 도메인 컨트롤러에 저장되어 있을 수 있는 개체를 빠른 속도로 검색할 수 있다.
  
•  RODC(읽기 전용 도메인 컨트롤러)
  : 주 DC로부터 AD와 관련된 데이터를 전송받아 저장한 후 사용하지만 스스로 데이터를 추가하거나 변경하지는 않는다.

---

AD DS DB(AD DS DataBase)

: 사용자 계정, 컴퓨터 계정, 그룹과 같은 모든 도메인 개체의 중앙 저장소