AD소개및활용방안_2007 - IT Storys by fruitkiss
Download
Report
Transcript AD소개및활용방안_2007 - IT Storys by fruitkiss
Active Directory의 소개 및 활용 방안
바이소프트
컨설팅사업부
2007
Buysoft
software paradise
목차
1.Active Directory의 소개
2.Active Directory의 필요성(1)
3.Active Directory의 필요성(2)
4.Active Directory 구축 요구 사항
5.Active Directory Domain Controller 구성
6.클라이언트의 환경 변화
7.Active Directory 네트워크 구성
8.Active Directory 그룹 정책
9.Active Directory 활용 방안
10.고객사 구축 사례
Buysoft
software paradise
1.Active Directory 소개
Directory 서비스란?
체계적이고 조직적인 계획을 통해 정보(자원)을 질서정연하게 담은 정보
저장소(Information Storage Location)라고 볼 수 있습니다.
일반적인 예로, 전화번호부 책을 들 수 있는데, 전화번호부 책의 정보는
도시/지역, 성, 이름 에 따라 정리 되어있고 이것이 Directory의 속성에 해
당하고 이에 해당하는 실제 사는 지역 및 이름 등이 Directory의 값에 해
당한다고 할 수 있습니다.
전화번호부
속성
지역
성
이름
Buysoft
software paradise
Active Directory
값
경기도
홍
길동
속성
Name
E-Mail
부서
값
홍길동
kdhong
영업부
2.Active Directory의 필요성(1)
-네트워크 자원의 통합적인 관리 및 체계적 구축
Buysoft
영업1부
AD 서버
총무부
분산되어 있는 자원
Buysoft
software paradise
통합된 체계적인 네트워크 자원
3.Active Directory 필요성(2)
보안
데스크 탑 관리
•그룹정책을 이용한 권한 설정
•H/W, S/W Inventory 관리
-사용자 계정 관리(암호설정 등)
•개인PC의 일관성 있는 정책 관리
-윈도우 자동 업데이트 설정
-소프트웨어 제한 정책 등
•통합된 인증 인프라 구축
보안성
AD
인프라
MS 솔루션 도입 기반 구축
클라이언트
관리성
중앙집중적인 관리
•MS Exchange Server
•사용자, 컴퓨터, 프린터 등 체계적인 관리
•MS System Management Server
•사용자 및 컴퓨터의 중복 제거
•MS Right Management Service 등
•OU 및 그룹으로 사용자 관리
•신규 솔루션 도입을 위한 전사적인
AD 인프라 구축
Buysoft
software paradise
4.Active Directory 구축 요구 사항
Server
MS
MS
MS
MS
MS
MS
MS
MS
Windows Server 2003 Standard Edition
Windows Server 2003 Enterprise Edition
Windows Server 2003 Datacenter Edition
Windows Small Business Server2003
Windows Server 2000 Server
Windows Server 2000 Advanced Server
Windows Server 2000 Datacenter Edition
Windows Small Business Server2000
Client
WindowsXP Professional, Windows 2000 Professional 이상
(단. WindowsXP Home Edition은 제외)
H/W 요구 사항
550MHz 이상의 CPU
256MB 이상의 메모리
2G HDD(단,NTFS로 구성)
바이소프트 지원 사항
Active Directory 컨설팅, 구축 및 기술 지원
Buysoft
software paradise
이중에 한대의 서버만 있으면 가능
AD 도메인 참여시 필요
5.Active Directory Domain Controller 구성
-AD의 도메인 구성 및 OU(Organization Unit)
사용중인 도메인
사내에 맞게 구성된 OU
하위 OU
Active Directory가 올라간 서버의 AD 사용자 및 컴퓨터 관리 콘솔 창으로 도메인 참여된 클라이언트 및
컴퓨터, 프린터, 공유 폴더 등을 볼 수 있으며, 사내의 부서 구성에 맞게 Drag & Drop을 이용하여 구성
이 가능하다. 또한 클라이언트 컴퓨터의 서비스, 디스크관리, 사용자 구성 등을 확인할 수 있으며, 사용
자의 로그인 암호 설정, 그룹관리, 프로필 등 세부적인 정보들을 구성, 업데이트 할 수 있습니다.
Buysoft
software paradise
6.클라이언트의 환경 변화
-클라이언트의 네트워크 그룹 변화
컴퓨터 명
참여된 컴퓨터 명
참여된 도메인 그룹
현재 작업 그룹
기존의 작업 그룹 환경
도메인 환경의 클라이언트
기존 workgroup 또는 사내의 지정된 그룹을 사용하는 클라이언트는 모두 AD 서버로 인증을 받고 로그
인하는 도메인 환경으로 참여하게 됩니다. Workgroup은 하나의 독립적인 그룹이라 할 수 있어서, 다른
클라이언트로 접근 시 해당 시스템에 계정을 생성하여 접근 사용하여야 하지만 도메인 환경은 AD의 계
정으로 간단한 인증 절차 및 권한이 있으면 모든 클라이언트 및 서버로의 접근할 수 있게 됩니다.
Buysoft
software paradise
7.Active Directory 네트워크 구성
도메인 네트워크 구성
특정 클라이언트 접근 권한 설정
AD 의 도메인으로 네트워크가 구성이 되며, AD의 계정으로 같은 도메인의 접근 및 통합 인증이 가능하
고 관리자에 의해 사용자 또는 그룹 별로 다양한 접근 권한 설정이 가능케 됩니다.
Buysoft
software paradise
8.Active Directory 그룹 정책
그룹 정책
컴퓨터 구성
Active Directory에 포함된 윈도우 시스템과 사용자
를 단일 관리자가 정책 기반의 설정을 집행함으로
써 데스크톱과 네트워크에서 무엇을 할 수 있고, 무
엇을 할 수 없는지를 제어할 수 있게 하는 관리 개
체입니다.
개별적인 정책은 조직이 요구하는 관리 모델과 단
위로 적용할 수 있으므로, 서로 다른 보안과 제어를
필요로 하는 경우에도 유연하게 구현할 수 있습니
다.
사용자 구성
사용자 설정
사용자 설정은 사용자가 어느 단말, 어느 시
스템에서 접근을 하던지 동일한
보안 수
준을 적용할 수 있습니다. 계정 정책, 암호
정책, 시스템 환경 등은 사용자에게 정의할
수 있는 보안 설정의 유형 입니다.
컴퓨터 설정
그룹 정책 편집기를 열면 그룹 정책은 크게 두 가지
로 나뉘는데 사용자 설정과 컴퓨터 설정으로 나뉘는
것을 볼 수 있습니다.
Buysoft
software paradise
컴퓨터 설정은 그 컴퓨터의 역할에 따른 보
안 설정을 지정할 수 있으며, 해당 컴퓨터에
어떤 사용자가 접근 로그인 하던지 항상 같
은 시스템 보안 설정이 유지되도록 할 수 있
습니다. 서비스제어, 감사, 이벤트, 레지스
트리 설정 등은 컴퓨터에게 정의할 수 있는
보안 설정의 유형 입니다.
Active Directory 그룹 정책(보안 정책)
암호정책
윈도우 자동 업데이트 정책
소프트웨어 제한 정책
특정 프로그램의 실행 금지 정책
그룹 정책을 사용하여 사용자에게 강력한 암호를 사용하도록 정책을 가져갈 수 있고, 윈도우 자동 업데
이트의 중앙 관리, 소프트웨어 제한 정책, 특정 프로그램의 실행 금지 등 다양한 보안적인 부분의 그룹
정책을 통해 보안적인 문제를 해결할 수 있게 됩니다.
Buysoft
software paradise
Active Directory 보안 및 스크립트 정책
소프트웨어 배포 정책
로그온 스크립트 활용
네트워크 드라이브 자동 매핑
AD의 그룹 정책을 이용하여 MSI 파일을 클라이언트에게 자동 배포가 가능하며, 도메인에 참가된 사용
자에게 특정 서버의 네트워크 드라이브를 자동으로 매핑 하는 스크립트 등 다양한 로그온 스크립트를
활용하여 도메인에 참가된 클라이언트 환경을 좀 더 편하게 구성하고, 관리자의 업무의 효율도 향상 시
킬 수 있습니다.
Buysoft
software paradise
9.Active Directory 활용 방안
MS SPS 서버
Exchange 메일 서버
AD 인프라 구축으로 인하여 Exchange(메일 서버), SPS(문서 협업 서버), SMS(시스템 관리) 서버, LCS(메신저
및 실시간 업무 협업), RMS(문서보안)서버 등, 다양한 서버 활용을 위한 기반을 마련하게 되었습니다.
Buysoft
software paradise
10.고객사 구축 사례
• 문제점
N 고객사는 한 명의 전산 관리자가 100여대의 시스템을 담당하고 있었으며, Workgroup 및 부서별로 네
트워크 그룹을 사용하였지만, 사용자가 임의로 변경을 하거나 부서 구성이 잘못되어 있는 것을 일일이 확
인하기는 어려웠습니다, 또한 대부분의 사용자 들이 administrator 계정을 사용하고, 비번을 사용하지 않
아 보안적인 문제점도 발생하여 AD 도입을 검토, 구축하게 되었습니다.
• 해결안
AD를 구축 후 사내 도메인으로 모든 클라이언트의 시스템 및 사용자를 구성, 관리하여 중앙에서 모든 것
을 확인 하고 제어 하는 것이 가능해 졌으며, 모든 사용자는 자신에게 부여된 계정만을 사용하고, 부서별
로의 권한만을 가져가게 되었으며, 강력한 암호 정책으로 사용자 들은 항상 암호로 시스템을 로그인하고
다른 시스템에 접근 하게 됨으로써 보안적인 문제도 많이 줄일 수 있었습니다.
Buysoft
software paradise
고객사 사례
• 문제점
H고객사는 웹호스팅을 이용하여 메일을 간접적으로 관리하는 방식에서 벗어나 Exchange 메일 서버의
신규 구축 문제와 이미 사내에서 사용하고 있는 오래인 인증 인프라 시스템의 새로운 대안 솔루션이 필요
했습니다. 또한 클라이언트 및 사용자를 중앙관리가 필요했습니다.
• 해결안
AD를 구성하여 모든 클라이언트의 사용자 및 컴퓨터를 관리하고 부서별로 OU를 구성하진 않고 사용자
와 컴퓨터만으로 분류하여 사내의 전체 등록 상황을 파악 하였으며, Exchange를 구축하여 사내에서 직
접 메일서버를 관리하고, 공용폴더 등을 활용하였으며, AD 기반이라 WSS, SMS 를 도입하여 보다 편한
업무 진행 및 관리자의 업무 효율성을 높였습니다.
Buysoft
software paradise
고객사 사례
• 문제점
L 고객사 경우 관리자의 강력한 권한이 필요했고, Workgroup 에서도 관리자 및 다른 클라이언트도
administrator 계정을 쉽게 사용하고 비번을 사용하지 않는 부분을 막고 싶었습니다, 또한 임의로 사용하
는 시스템 및 사용자의 이름을 회사에 맞게 통일되게 가져가고 싶었습니다.
• 해결안
AD를 구성하면서 시스템 및 사용자의 이름을 새로 구성하면서 통일되게 가져갔으며, 가장 강력한
administrator의 계정은 관리자도 잘 사용하지 않는 선에서 각각의 계정에 권한 들을 부여 함으로써
체계적인 권한도 구성할 수 있게 되었습니다.
Buysoft
software paradise
고객사 사례
• 문제점
D 고객사 경우 SBS2003을 사용하는 고객으로 Exchange 사용이 목적이 였으나 SBS의 많은 기능을 이용
하기 위해 AD의 구축 및 기술지원을 요청 하였습니다. AD를 이용한 그룹 정책 활용 방안 요청, 또한 사내
의 WSS 사이트의 활용되지 않는 문제도 있었습니다.
• 해결안
SBS가 설치되면서 구성된 AD를 기반으로 클라이언트를 조인 하였고, 암호정책, 로그인 스크립트를 활용
한 네트워크 드라이브 연결, 윈도우 업데이트 자동 구성 등 다양한 그룹 정책을 클라이언트에 적용 하였
습니다, 또한 같이 설치된 WSS 사이트의 활용 방법 지원으로 사내의 문서 업무 및 팀 사이트 운영도 좀
더 활발하게 이용될 수 있었습니다.
Buysoft
software paradise
감사합니다.
Buysoft
software paradise