9. [Window Server 2012] 도대체 Active Directory란 무엇인가? (1)

 

 

 

 

 

 

 

회사에서 진행중인 업무로 인해 갑작스럽게 Window로 AD 서버를 생성해야 할 일이 생겼다. 필자가 진행하는 대부분의 업무가 Linux 기반인 탓에 Window로 AD 서버를, 그것도 AD의 A자로 모르는 상태에서 설치를 진행하려다보니 이것저것 알아야 할 것이 너무나도 많았다. 다행스럽게도 실제 이 테스트를 적용하는 업무를 진행하기 전까지 시간을 여유롭게 가질 수 있었기에 Window 서버와 AD 서비스 설치, 그리고 필자가 담당하는 제품과의 연동까지 무사히 테스트를 마칠 수 있었다. 

 

필자가 앞으로 업무를 하면서 또다시 AD 서버를 설치하고 연동하는 과정을 진행할 가능성은 많지 않다(적어도 현재의 회사에서는 말이다). 그러나 IT라는 곳은 쏟아져나오는 기술을 많이 알면 알 수록 여러모로 유리하기 때문에, 이번 업무로 습득한 지식을 허무하게 날려버리기에는 너무나도 아쉽다. 이러한 이유로 인해 업무에서 얻은 지식을 필자 나름대로 정리하려는 것이 이번 포스팅의 목적이다.

 

 

1. AD(Active Directory)란 무엇인가

 

사실 업무 시작 전, 필자가 가장 혼란스러웠던 점은, AD의 정의를 명확히 찾기가 어려웠다는 것이다. 필자의 경우, 모르는 것이 있으면 도서관에서 책을 빌려 확인하는 것이 몸에 익은 사람이라 그런지, 도서관을 자유롭게 이용할 수 없는 현재의 상황에서 인터넷의 단편적인 지식 조각을 모아 AD의 정의를 정립하는 것이 조금 힘들었다(그래서 이번 포스팅에서 필자가 설명하는 AD의 내용이 조금 부실할 수 있다...).

 

AD는 Active Directory라는 말의 줄임말이다. 직역하면 능동적인 디렉터리(폴더)라고 할 수 있는데, 이 뜻만으로는 이게 무엇때문에 만들어진 녀석인지 감이 오지 않는다. 어느 블로그에서도 이에 대해 정확히 설명해놓은 곳이 없어 혼란함만 가중되던 때에, 영문으로 이 녀석에 대해 찾아보기로 한다. 아무래도 윈도우 서버를 만든 녀석들이 미국인들이니 훨씬 자세하게 설명되어 있으리라는 생각때문에 말이다. 찾아보니 아래와 같이 나온다.

 

자료 출처: https://searchwindowsserver.techtarget.com/definition/Active-Directory#:~:text=Active%20Directory%20(AD)%20is%20Microsoft's,device%2C%20e.g.%2C%20a%20printer.

 

내용을 살펴보니, AD라는 녀석은 Microsoft에서 만든 디렉토리 서비스인데, 디렉토리 내에 사용자, 그룹, 서비스나 기타 서버(컴퓨터) 등에 대한 정보를 가지고 있으며, 관리자가 네트워크 자원의 접근과 권한을 관리할 수 있도록 하는 서비스라고 한다.

 

위의 내용을 토대로 다시 AD에 대해 설명한 블로그의 글을 쭉 살펴본다. 여러 정보를 수집하다보니, 윈도우 서버에 저장되어 있는 사용자 정보, 그룹 정보 등을 동일 네트워크 대역 내의 다른 컴퓨터와 공유하는 느낌이다. 얼핏 보면 컴퓨터의 자원을 공유한다는 면에서 공유폴더와 비슷해보이기 때문에 굳이 AD서버를 사용하는 이유가 바로 와닿지 않는다. 하지만 아래의 예시를 통해 각 서버에 접속할 때의 과정을 살펴보면 AD를 사용하는 이점이 조금씩 보이게 된다.

 

< 공유 폴더 접속 시 >

 

< AD 접속 시 >

 

 

공유폴더는 공유 파일이 존재하는 컴퓨터의 관리자(Admin)가 해당 컴퓨터만을 관리하는 반면, AD는 윈도우 서버의 관리자(Admin)가 내부 네트워크 대역에 존재하는 모든 자원을 관리하고 통제한다는 차이점이 있다. 예를 들어, 서로 다른 두 회사(A사와 B사라고 하자)가 각각 10대의 서버를 보유하고 있다고 가정하자. 그리고 A사는 AD를 사용한다. 두 회사 모두 서버 관리 규칙이 아래와 같이 동일하게 지정되어 있다고 가정해보자.

 

-  각 서버의 계정 비밀번호는 90일 주기로 변경하여야 한다.

-  각 서버는 퇴사자 발생 시, 퇴사자의 계정을 즉각 삭제 또는 비활성화하여야 한다.

 

B사의 경우를 보자. 계정 비밀번호 변경 시점이 도래하면, 모든 사용자가 자신이 사용하는 서버에 모두 접속하여 비밀번호를 변경해야 한다. 이것만으로도 충분히 노가다인데, 만약 서버에 지정한 비밀번호가 모두 다르다면, 이 정보를 기억하는 것 자체만으로도 꽤나 성가신 일이 아닐 수 없다. 또한 중간에 퇴사자가 발생하는 경우, 전산망 관리자는 퇴사자가 사용했던 서버에 일일이 접속하여 퇴사자가 사용했던 계정을 삭제(비활성화)해야하는데, 만약 하나의 서버에서 퇴사자의 계정이 실수로 지워지지 않는다면, 퇴사자가 언제든지 지워지지 않은 계정으로 접속을 할 수 있는 위험성도 남게 된다. 즉, 전산망 관리자가 할 일이 곱절로 늘어나게 된다는 것이다. 

 

하지만 AD를 사용하는 A사는 사정이 다르다. AD 서버에 등록된 계정만으로 서버 접속이 가능해지기 떄문에, 비밀번호 변경일이 도래하면, 각 사용자가 AD 서버에서 자신의 계정 비밀번호를 변경하는 것만으로도 자신이 사용하는 서버로 접속하는 비밀번호를 모두 변경하는 것과 동일한 효과가 나타나게 된다. 퇴사자의 경우도 마찬가지인데, 전산망 관리자가 AD 서버에서 퇴사자의 계정만 삭제해버리면 서버에 계정 정보가 남아있더라도 퇴사자가 함부로 자신이 사용했던 서버로 접속하는 것이 불가능해진다.

 

위에서는 계정 관리만을 예로 들었는데, AD는 계정 관리 뿐만 아니라 네트워크 상의 기기(컴퓨터, 프린터 등)도 관리하기 때문에 인가받지 않은 PC나 기기가 사용되는 것도 방지할 수 있다. 즉, 외부인이 어찌해서 자신의 노트북을 몰래 들고 들어와 자료 탈취 목적으로 내부망에 붙더라도 AD에 등록되지 않은 PC이기 때문에 내부 네트워크 자원에 대한 접근이 불가능하여 자료 탈취 등을 예방 할 수 있게 된다.

 

 

---

 

정리하자면, 네트워크 관리자가 자신이 관리하는 네트워크의 모든 자원을 효율적이고 안전하게 관리하기 위해 AD를 사용한다고 보면 되며, AD는 서버 내의 디렉토리 내에 네트워크 자원 정보를 저장하고 인가받은 사용자에게 이 자료를 제공하는 개념이라고 보면 이해하기 쉽다. 

 

백날 글을 보는 것보다 실제로 서버를 설치하고 실행하며 분석해 보는 것이 훨씬 이해가 빠르다. 실제 실습을 진행하실 분들은 다음 포스팅을 참고해주시기 바란다.

 

 

 

 

FIN.