Active Directory 용어집

[  출처 : http://blog.naver.com/zeron74/60019788162  ]

A

액세스 제어(access control) -- 컴퓨터나 네트워크에 로그온할 수 있는 권한의 관리

ACE -- 액 세스 제어 항목을 참고하십시오.

액세스 제어 항목(ACE) -- 각 ACE에는 ACE가 적용되는 사용자나 그룹을 식별하는 보안 식별자(SID)와 ACE가 부여하거나 거부하는 액세스 유형에 관한 정보가 들어 있습니다.

액세스 제어 목록(ACL) -- 파일, 디렉터리 또는 기타 리소스와 관련된 데이터 집합으로서 사용자와 그룹이 액세스할 때 가지게 되는 권한을 정의합니다. Active Directory^TM 서비스에서 ACL은 보호하는 개체와 함께 저장되어 있는 액세스 제어 항목(ACE)의 목록입니다. Windows NT® 운영 체제에서 ACL은 이진값으로 저장되어 있으며 보안 설명자라고 합니다.

ACL -- 액 세스 제어 목록을 참고하십시오.

Active Directory -- Windows® 2000에서 지원하는 구조로서 네트워크 상의 모든 개체를 추적하고 찾을 수 있습니다. Active Directory는 Windows 2000 Server에서 사용하는 디렉터리 서비스이며 Windows 2000 분산 네트워크에 대한 토대를 제공합니다.

Active Directory Service 인터페이스(ADSI) -- 구성 요소 개체 모델(COM)을 기본으로 하는 클라이언트 측 제품입니다. ADSI는 디렉터리 서비스 모델을 정의하고 Windows NT 및 Windows 95 클라이언트 응용 프로그램이 Active Directory를 포함한 여러 네트워크 디렉터리 서비스를 액세스할 수 있도록 하는 일련의 COM 인터페이스를 정의합니다. ADSI를 사용하면 응용 프로그램이 Active Directory와 통신할 수 있습니다.

ADSI는 디렉터리 서비스 클라이언트가 인터페이스 집합을 사용하여 ADSI 구현을 제공하는 이름 공간과 통신할 수 있도록 합니다. ADSI 클라이언트는 네트워크별 응용 프로그램 프로그래밍 인터페이스(API)를 사용함으로써 이름 공간 서비스를 보다 간단하게 액세스할 수 있도록 합니다. ADSI는 표준 COM 기능을 따르고 지원합니다. ADSI는 또한 Java, Visual Basic®, Visual Basic Scripting Edition(VBScript)과 같은 자동화 언어와, 성능을 향상시키는 C 및 C++과 같은 비자동화 언어로부터 액세스할 수 있는 인터페이스와 개체를 정의합니다. 또한 ADSI는 자체의 OLE 데이터베이스 공급자를 제공하므로 ActiveX® 기술을 사용하는 클라이언트를 포함하여 OLE 데이터베이스를 이미 사용하고 있는 모든 클라이언트들을 완벽하게 지원합니다.

ADSI -- Active Directory Service 인터페이스를 참고하십시오.

속성(attribute) -- 개체가 지니고 있는 하나의 특성(property)입니다. 개체는 그 속성의 가치로 설명됩니다. 예를 들어, 자동차는 제조업체, 모델, 색상 등의 자체 속성으로 설명할 수 있습니다. 속성(attribute)이라는 용어는 같은 것을 의미하는 특성(property)으로 바꿔 사용되기도 합니다. 속성은 또한 스키마에 정의되어 있는 클래스에 의해 표현되는 개체를 설명할 때 사용됩니다. 속성은 클래스와는 별도로 스키마에 정의되어 있습니다. 이렇게 함으로써 많은 클래스에 하나의 속성 정의가 적용될 수 있습니다.  개 체를 참고하십시오.

인증(authentication) -- 컴퓨터에 로그온한 사용자의 ID를 확인하거나 전송된 메시지의 무결성을 확인하는 것입니다.

B

백업 도메인 컨트롤러(BDC) -- Windows NT Server 4.0 또는 이전 도메인에서 도메인의 디렉터리 데이터베이스 복사본을 받는 Windows NT Server가 실행 중인 컴퓨터로서, 도메인에 대한 모든 계정과 보안 정책이 들어 있습니다. 복사본은 주 도메인 컨트롤러(PDC)에 있는 주 복사본과 주기적으로 자동으로 동기화됩니다. 백업 도메인 컨트롤러는 또한 사용자 로그온을 인증하고 필요할 때 PDC로서 작동하도록 향상될 수 있습니다. 하나의 도메인에는 여러 백업 도메인 컨트롤러가 있을 수 있습니다.

Windows 2000 도메인에서 백업 도메인 컨트롤러는 필요하지 않습니다. 모든 도메인 컨트롤러는 피어이며 디렉터리에서 유지 관리를 수행할 수 있습니다. Windows NT 4.0과 Windows NT 3.51 백업 도메인 컨트롤러는 혼합 모드에서 실행될 때 Windows 2000 도메인에 참여할 수 있습니다. 도 메인 컨트롤러, 주 도메인 컨트롤러를 참고하십시오.

C

컨테이너(container) -- 특수한 유형의 Active Directory 개체. 컨테이너는 속성이 있으며 Active Directory 이름 공간의 일부인 다른 디렉터리 개체와 같습니다. 그러나 다른 개체와는 달리, 구체적인 것을 나타내지는 않습니다. 이것은 개체 그룹과 다른 컨테이너에 대한 컨테이너입니다. 개 체를 참고하십시오.

D

데이터베이스 레이어(database layer) -- ESE(Extensible Storage Engine)를 직접적으로 호출할 필요가 없도록 DSA(Directory System Agent)에 응용 프로그램 프로그래밍 인터페이스(API)를 보여줌으로써 기준 데이터베이스 시스템으로부터 디렉터리 서비스의 상위 레이어를 분리시키는 Active Directory의 구조적 레이어입니다.

위임(delegation) -- 더 높은 관리 권한이 컨테이너와 하위 트리에 대한 특정 관리 권한을 개인과 그룹에게 할당할 수 있게 합니다. 이렇게 하면 도메인 관리자들이 대규모 사용자 그룹 세그먼트의 권한을 박탈할 필요가 없어집니다.  액세스 제어 항목(ACE)을 사용하면 컨테이너의 개체에 있는 특정 관리 권한을 사용자나 그룹에 부여할 수 있습니다.

예를 들어, 사용자 “James Smith”가 "Corporate Accounting" 조직 단위의 관리자가 되게 하려면 다음과 같이 “Corporate Accounting”의 ACL에 ACE를 추가합니다.

“James Smith”; 부여; 작성, 수정, 삭제; 개체-클래스 사용자

“James Smith”; 부여; 작성, 수정, 삭제; 개체-클래스 그룹

“James Smith”; 부여; 작성 개체-클래스 사용자; 속성 암호

이제 James Smith는 Corporate Accounting에 새로운 사용자와 그룹을 작성하고 기존 사용자에 대해 암호를 설정할 수 있지만, 다른 개체 클래스를 작성할 수 없으며 다른 컨테이너의 사용자에게는 아무런 영향을 줄 수 없습니다. 물론 다른 컨테이너에 있는 ACE에 의해 이 권한을 부여받는다면 다른 컨테이너의 사용자에게 영향을 줄 수 있습니다.

디렉터리(directory)-- 네트워크의 개체에 대한 정보를 저장하는 계층적 구조

디렉터리 서비스(directory service) -- Active Directory 등이 있으며 디렉터리 데이터를 저장하고 네트워크 사용자와 관리자가 이 데이터를 사용할 수 있게 하기 위한 방법을 제공합니다. 예를 들어, Active Directory는 이름, 암호, 전화 번호 등 사용자 계정에 대한 정보를 저장하고, 네트워크에 있는 다른 승인받은 사용자가 이 정보를 액세스할 수 있도록 합니다. Active Directory, 디 렉터리 파티션을 참고하십시오.

디렉터리 사용 가능 네트워킹(DEN) --사용자, 응용 프로그램, 네트워크 리소스에 대한 정보의 중앙 저장소로부터 라우터와 응용 프로그램 및 사용자와 같은 네트워크 요소를 관리하는 일

디렉터리 파티션(directory partition) -- 복제의 단위를 구성하는 디렉터리에 인접하는 하위 트리. 지정된 복제본은 항상 특정 디렉터리 파티션의 복제본입니다. Active Directory는 하나 이상의 디렉터리 파티션으로 구성되어 있습니다.

Active Directory에서 하나의 서버는 항상 세 개 이상의 디렉터리 파티션을 보유하고 있습니다.

• 스키마
• 구성(복제 토폴로지 및 관련 메타데이터)
• 하나 이상의 도메인당 디렉터리 파티션(디렉터리의 실제 개체가 들어 있는 하위 트리)

스키마와 구성은 지정된 포리스트의 모든 도메인 컨트롤러로 복제됩니다. 도메인 단위 디렉터리 파티션은 해당 도메인의 도메인 컨트롤러에 대해서만 복제됩니다.

고유 이름(distinguished name) -- 개체를 담고 있는 도메인과 컨테이너 계층 구조에서 개체로의 완전한 경로를 식별합니다. Active Directory의 모든 개체에는 고유 이름이 하나씩 있습니다. 일반적인 고유 이름은 다음과 같습니다. CN=JamesSmith,CN=Users,DC=Microsoft,DC=Com. 고유 이름은 Microsoft.com 도메인의 “James Smith” 사용자 개체를 식별합니다.

DNS -- 도 메인 이름 시스템을 참고하십시오.

도메인(domain) -- Windows NT 기반 컴퓨터 네트워크의 단일 보안 경계선입니다. Active Directory는 하나 이상의 도메인으로 구성되어 있습니다. 표준 워크스테이션에서는 컴퓨터 자체가 도메인입니다. 도메인은 둘 이상의 물리적 위치로 확장할 수 있습니다. 모든 도메인에는 자체의 보안 정책과 다른 도메인들과의 보안 관계가 있습니다. 트러스트 관계에 의해 여러 도메인이 연결되어 있으며, 도메인 트리를 구성하는 공통 스키마, 구성 및 글로벌 카탈로그를 공유합니다. 여러 도메인 트리들은 함께 연결하여 포리스트를 생성할 수 있습니다. 도 메인 컨트롤러, 도 메인 로컬 그룹을 참고하십시오.

도메인 컨트롤러(domain controller) -- Active Directory 파티션을 담고 있는 Windows NT 기반 서버. 도 메인을 참고하십시오.

도메인 로컬 그룹(domain local group) -- 이 그룹은 포리스트, 공통 그룹 및 자체 도메인에 있는 기타 도메인 로컬 그룹에 속하는 사용자와 글로벌 그룹을 포함할 수 있습니다. 도메인 로컬 그룹은 자체 도메인에 있는 ACL에서만 사용할 수 있습니다. 도 메인, 포 리스트를 참고하십시오.

도메인 이름 시스템(DNS) -- 이름/주소 변환과 클라이언트-서버 랑데부에 사용되는 계층적 분산 데이터베이스입니다. 도메인 이름 시스템은 인터넷 상에서 컴퓨터와 서비스 이름을 TCP/IP 주소로 변환할 때 사용하는 이름 공간입니다. Active Directory는 DNS을 위치 서비스로서 사용하고 클라이언트들은 DNS 쿼리를 통해 도메인 컨트롤러를 찾을 수 있습니다.

E

ESE(Extensible Storage Engine) -- Active Directory 데이터베이스 엔진. ESE(Esent.dll)는 Microsoft Exchange Server 버전 4.x와 5.5에서 사용되는 Jet 데이터베이스의 향상된 버전으로서, 트랜잭션 데이터베이스 시스템을 구현합니다. 즉, 로그 파일을 사용하므로 커밋된 트랜잭션이 안전하게 유지될 수 있습니다.

F

포리스트(forest) -- 서로 신뢰하는 하나 이상의 Active Directory 트리 그룹입니다. 포리스트의 모든 트리는 공통 스키마, 구성 및 글로벌 카탈로그를 공유합니다. 포리스트에 여러 트리가 들어 있을 때, 이 트리들은 인접하는 이름 공간을 형성하지 않습니다. 주어진 포리스트의 모든 트리들은 양방향 전이 트러스트 관계를 통해 서로 신뢰합니다. 트리와는 달리 포리스트는 뚜렷한 이름을 필요로 하지 않습니다. 포리스트는 상호 참조된 개체 집합과 구성원 트리에 알려져 있는 트러스트 관계로서 존재합니다. 포리스트의 트리들은 트러스트를 위해 계층 구조를 형성합니다. 트 리, 글 로벌 카탈로그를 참고하십시오.

G

글로벌 카탈로그(GC) -- 글로벌 카탈로그에는 디렉터리의 모든 Windows 2000 도메인의 부분 복제본이 들어 있습니다. 사용자와 응용 프로그램이 GC를 사용하면 대상 개체의 하나 이상의 속성이 주어진 Active Directory 도메인의 개체를 찾을 수 있습니다. 또한 디렉터리 파티션의 스키마와 구성도 들어 있습니다. 즉, 글로벌 카탈로그에는 Active Directory에 있는 모든 개체의 복제본이 들어 있으나 속성 수는 아주 작습니다. 글로벌 카탈로그의 속성은 검색 작업에서 가장 많이 사용되는 사용자의 이름과 성, 로그온 이름 등의 속성과, 개체의 전체 복제본을 찾을 때 필요한 속성입니다. 사용자는 GC를 사용하면 해당 개체는 어떤 도메인에 있는지 알 필요가 없으며 기업에서 이름 공간을 끊임없이 확장하지 않아도 관심있는 개체를 빠르게 찾을 수 있습니다. 글로벌 카탈로그는 Active Directory 복제 시스템에 의해 자동으로 구축됩니다.

GC -- 글 로벌 카탈로그를 참고하십시오.

글로벌 카탈로그 서버 -- 포리스트에 대한 글로벌 카탈로그의 복사본을 담고 있는 Windows 2000 도메인 컨트롤러입니다. 글 로벌 카탈로그를 참고하십시오.

글로벌 그룹(global group) -- 포리스트의 ACL에 나타날 수 있으며, 자체 도메인의 사용자와 기타 글로벌 그룹이 들어 있습니다.

그룹(group) -- 글 로벌 그룹, 도 메인 로컬 그룹, 공 통 그룹 및 그 룹 정책을 참고하십시오.

그룹 정책(Group Policy) -- Active Directory 컨테이너에 들어 있는 컴퓨터 및 사용자 그룹에 정책을 적용하는 것을 의미합니다. 정책 유형에는 Windows NT Server 4.0에서 찾을 수 있는 레지스트리 기반 정책 뿐 아니라 많은 유형의 정책 데이터를 저장하기 위해 Directory Service에서 사용할 수 있는 정책도 포함됩니다. 예를 들면, 파일 배치, 응용 프로그램 배치, 로그온/로그오프 스크립트 및 시작/종료 스크립트, 도메인 보안, 인터넷 프로토콜 보안(IPSec) 등이 있습니다. 정책 컬렉션을 그룹 정책 개체(GPO)라고 합니다.

그룹 정책 개체(GPO) -- 정책의 가상 컬렉션입니다. 여기에는 전체적으로 고유한 식별자와 같은 고유 이름이 제공됩니다. GPO는 두 위치에 그룹 정책 설정을 저장합니다. 바로 그룹 정책 컨테이너(GPC)(많이 사용됨)와 그룹 정책 템플릿(GPT)입니다. GPC는 버전 정보, 상태 정보, 기타 정책 정보(예: 응용 프로그램 개체)를 저장하는 Active Directory 개체입니다. GPT는 파일 기반 데이터에 사용되며 소프트웨어 정책, 스크립트 및 배치 정보를 저장하고 있습니다. GPT는 도메인 컨트롤러의 시스템 볼륨 폴더에 있습니다.

GPO는 사이트, 도메인, 조직 단위와 같은 하나 이상의 Active Directory 컨테이너와 연결될 수 있습니다. 여러 컨테이너는 같은 GPO와 연결될 수 있으며, 단일 컨테이너는 둘 이상의 연결된 GPO를 가질 수 있습니다.

또 한, 기본적으로 모든 컴퓨터는 보안 관련 정책만 들어 있는 로컬 그룹 정책 개체(LGPO)를 받습니다. 관리자는 개별 컴퓨터에 다른 로컬 그룹 정책을 설정하고 적용할 수 있습니다. 이것은 도메인의 구성원이 아닌 컴퓨터나 관리자가 도메인으로부터 상속 받은 그룹 정책의 적용을 받지 않으려 하는 컴퓨터에 유용합니다.  그 룹 정책을 참고하십시오.

GPO --  그 룹 정책 개체를 참고하십시오.

H

계층적 이름 공간(hierarchical namespace) -- DNS 이름 공간과 Active Directory 이름 공간과 같은 이름 공간으로 계층적으로 구성되어 있으며 이름 공간이 분할될 수 있게 하는 규칙을 제공합니다. 이 름 공간을 참고하십시오.

K

Kerberos(Kerberos) -- 사용자를 인증하는 보안입니다. Kerberos는 서비스나 데이터베이스에 권한을 제공하지 않습니다. 즉, 로그온 시 ID를 만듭니다. 이 ID는 세션 전체에서 사용됩니다. Kerberos 프로토콜은 Windows 2000 운영 체제의 기본 인증 메커니즘입니다.

지식 일관성 검사기(KCC) -- 이것은 모든 도메인 컨트롤러에서 실행되고 같은 사이트의 개별 기계들 간에 자동으로 연결을 만드는 기본 제공 서비스입니다. 이것을 Windows 2000 Directory Service 연결 개체라고도 합니다. 관리자는 추가 연결 개체를 만들거나 연결 개체를 제거할 수 있습니다. 그러나 KCC는 사이트 내에서 복제가 불가능해지는 위치나 단일 오류 지점을 가진 위치에서 계속해서 필요한 만큼의 새로운 연결 개체를 만들어 Active Directory 복제를 다시 시작합니다.

L

LDAP(Lightweight Directory Access Protocol) -- 디렉터리 서비스를 액세스할 때 사용하는 프로토콜. LDAP 지원은 현재 웹 브라우저와 전자 메일 프로그램에서 구현되어 LDAP 호환 디렉터리를 쿼리할 수 있습니다. LDAP는 X.500 디렉터리를 액세스하는 데 사용되는 DAP(Directory Access Protocol)의 단순화 버전입니다. DAP보다 LDAP의 쿼리를 코드로 작성하는 것이 더 쉽습니다. 예를 들어, DAP는 주소를 찾을 수 없는 경우 다른 서버에서 검색을 시작할 수 있지만, LDAP는 초기 스펙으로 검색을 시작할 수 없습니다. Lightweight Access Directory Protocol은 Active Directory에 대한 주 액세스 프로토콜입니다.

M

혼합 모드(mixed mode) -- 이 모드에서는 Windows 2000과 이전 버전의 Windows NT 모두에서 실행되는 도메인 컨트롤러가 도메인에서 공존할 수 있습니다. 혼합 모드에서는 Windows NT Server 이전 버전의 도메인 기능은 계속 사용할 수 있지만, 일부 Windows 2000 기능은 사용할 수 없습니다. Windows 2000 Server 도메인은 기본적으로 혼합 모드에서 설치됩니다. 혼합 모드에서 는 Windows NT 4.0 백업 도메인 컨트롤러가 있을 수 있습니다. 중첩된 그룹은 혼합 모드에서 지원되지 않습니다. 원 시 모드와 비교하십시오.

멀티마스터 복제(multi-master replication) -- 도메인의 여러 서버에 디렉터리의 복사본을 제공하고 유지 관리하는 Active Directory의 기능. 지정된 디렉터리 파티션의 모든 복제본에 쓸 수 있으므로 지정된 파티션의 모든 복제본에 업데이트를 적용할 수 있습니다. Active Directory 복제 시스템은 지정된 복제본에서 다른 모든 복제본으로 변경 내용을 전달할 수 있습니다. 복제는 자동적이며 가시적으로 수행됩니다.

Active Directory 멀티마스터 복제는 도메인 컨트롤러에서 작성한 사용자, 그룹, 컴퓨터, 도메인, 조직 단위, 보안 정책 등 모든 개체를 참여하는 각각의 다른 도메인 컨트롤러로 전달합니다. 도메인의 도메인 컨트롤러가 느려지거나 장애가 발생하면 같은 도메인의 다른 도메인 컨트롤러가 필요한 디렉터리 액세스를 제공할 수 있습니다. 왜냐하면 같은 디렉터리 데이터를 포함하고 있기 때문입니다. 복 제를 참고하십시오. 

N

원시 모드(native mode) -- 주어진 도메인의 모든 도메인 컨트롤러가 Windows 2000 Server를 실행하고 있을 때를 말합니다. 이 모드에서 조직은 공통 그룹, 중첩된 그룹 구성원, 도메인 내 그룹 구성원 등의 새로운 Active Directory 기능을 활용할 수 있습니다. 혼 합 모드와 비교하십시오.

이름 공간(namespace) -- 명명 규칙에 따라 정의되는 이름이나 이름의 그룹입니다. 주어진 이름이 확인될 수 있는 경계 영역이라고 할 수 있습니다. Active Directory는 기본적으로 이름 공간입니다. 다른 디렉터리 서비스도 마찬가지입니다. 인터넷은 이름을 com, .edu, .gov와 같은 최상위 도메인으로 알려진 범주로 구분하는 계층적 이름 공간을 사용합니다. 최상위 도메인은 계층 구조 맨 위에 있습니다.

이름 확인(name resolution) -- 이름이 나타내는 특정 개체나 정보로 이름을 변환하는 프로세스입니다. 전화 번호부는 전화 가입자의 이름을 전화 번호로 확인할 수 있는 이름 공간을 구성합니다. Windows NTFS 파일 시스템은 파일의 이름을 파일 자체로 확인할 수 있는 이름 공간을 구성합니다. 마찬가지로, Active Directory는 디렉터리의 개체 이름을 개체 자체로 확인할 수 있는 이름 공간을 구성합니다.

O

개체(object) -- 이것은 사용자, 프린터 또는 응용 프로그램과 같은 구체적인 대상을 나타내는 일련의 뚜렷한 속성으로서 이름을 갖고 있습니다. 속성에는 해당 디렉터리 개체를 고유하게 구분하는 사항을 설명하는 데이터가 들어 있습니다. 사용자의 속성에는 사용자의 이름, 성, 전자 메일 주소가 들어 있습니다.

개체 식별자(object identifier) -- 디렉터리 서비스의 개체 클래스나 속성을 식별하는 번호. 개체 식별자는 발급 기관에서 발급하며 계층 구조를 형성합니다. 개체 식별자는 점으로 구분한 십진수 문자열(“1.2.3.4”)로 표시됩니다. 기업과 개인은 발급 기관에서 루트 개체 식별자를 얻을 수 있으며, 이 루트 개체 식별자를 사용하여 개체 식별자를 추가로 할당할 수 있습니다. 예를 들어, Microsoft는 1.2.840.113556의 루트 개체 식별자를 발급받았습니다. Microsoft는 내부적으로 이 루트로부터 더 많은 분기들을 관리합니다. 이 분기들 중 하나는 Active Directory 클래스에 대한 개체 식별자를 할당할 때 사용되고, 또 다른 분기는 Active Directory 속성에 대한 개체 식별자들 할당합니다. 이러한 방식으로 할당이 진행됩니다.

전세계 대부분의 국가에는 기업에 대한 개체 식별자를 발급하는 책임이 있는 식별된 국가 등록 기관(NRA)이 있습니다. 미국의 경우 NRA는 ANSI(American National Standards Institute)입니다. 기업은 개체 식별자에 대해서도 이름을 등록할 수 있습니다. 루트 개체 식별자와 등록된 이름에는 요금이 적용됩니다. 자세한 정보를 원하면 해당 국가의 NRA에 문의하십시오. International Standards Organization은 NRA를 인정하고 ISO 웹 사이트   에 연락처의 목록을 올려두고 있습니다.  개 체, 속 성을 참고하십시오.

조직 단위(OU) -- Active Directory 관리 파티션인 컨테이너 개체. OU에는 사용자, 그룹, 리소스 및 기타 OU가 포함됩니다. 조직 단위를 사용하면 디렉터리의 개별 하위 트리에 관리를 위임할 수 있습니다.

OU -- 조 직 단위를 참고하십시오.

P

parent-child 트러스트 관계(parent-child trust relationship) -- Active Directory 트리에 도메인을 추가할 때 만들어지는 양방향 전이 트러스트 관계입니다. Active Directory 설치 프로세스는 작성 중인 도메인(새로운 child 도메인)과 parent 도메인 간의 트러스트 관계를 자동으로 생성합니다.

파티션(partition) -- 저장소 내의 완전한 복제 단위. 디 렉터리 파티션을 참고하십시오.

PDC -- 주 도메인 컨트롤러를 참고하십시오.

PKI -- 공 개 키 하부 구조를 참고하십시오..

정책 -- 주체와 대상 간의 상호 작용을 처리하는 규칙 모음. 예를 들어, 인터넷 프로토콜(IP) 보안 에이전트(주체)가 주어진 컴퓨터(대상)에서 시작될 때 정책은 보안 IP 연결에 이 컴퓨터를 참여시키는 방법을 결정합니다.

정책 엔진(policy engine) -- 정책을 선택하고, 조건을 평가하고, 수행해야 하는 작업을 결정해야 하는 지점에서 실행되는 소프트웨어입니다. 정책 엔진의 개념은 다양합니다. 정책 엔진 개념이 분산 시스템의 많은 부분으로 확산되기도 합니다. 예를 들어, Windows 2000은 정책 저장소(그룹 정책 개체), 사용자 로그온(WinLogon)의 일부로서 실행되는 정책 엔진 및 요구가 있을 때 서비스에서 정책 선택 프로세스(GetGPOList)를 호출하기 위한 API 등이 포함된 정책 하부 구조를 제공합니다. 일부 응용 프로그램과 서비스는 WinLogon 통합을 사용하여 사용자에게 정책을 적용합니다. 또 다른 응용 프로그램과 서비스는 GetGPOList를 사용하여 자체의 정책 결정과 실행 지점을 구현합니다.

주 도메인 컨트롤러(PDC) -- Windows NT Server 4.0 및 이전 도메인에서 PDC는 Windows NT Server를 실행하는 컴퓨터로서, 도메인 로그온을 인증하고 도메인에 대한 디렉터리 데이터베이스를 유지 관리합니다. PDC는 도메인에 있는 모든 컴퓨터의 계정에서 이루어진 변경을 추적합니다. PDC만이 이러한 변경 내용을 직접 받게 됩니다. 도메인에는 주 도메인 컨트롤러가 하나만 있습니다. Windows 2000에서, 각 도메인에 있는 도메인 컨트롤러 중 하나는 저급의 클라이언트 및 서버와 호환하기 위한 PDC로서 식별됩니다. 도 메인 컨트롤러, 백 업 도메인 컨트롤러를 참고하십시오.

프로필(profile) -- 정책 조건을 평가하여 산출한 결과로서 하나의 작용에 의해 선택되고 주체와 대상 간의 상호 작용에 적용되는 정보의 컬렉션입니다. 프로필의 내용은 해당 주체와 대상에 국한되어 적용됩니다. 프로필은 정책의 총 수를 줄임으로써 관리를 훨씬 간단하게 할 수 있게 합니다. 예를 들어, 지정된 서버 응용 프로그램에는 많은 수의 구성 매개 변수가 있을 수 있습니다. 이 응용 프로그램에 대한 정책은 프로필을 참조할 수 있습니다. 따라서 여러 정책을 사용하여 같은 일을 수행할 때보다 훨씬 작업이 간단합니다. 정 책, 개 체를 참고하십시오.

공개 키 하부 구조(PKI) -- 기업, 산업 또는 국가 내의 정보를 교환하는 안전한 방법을 구축하기 위한 정책입니다. PKI는 또한 공개 키 기반 응용 프로그램을 작성하고, 배치하고, 관리하는 서비스와 관리 도구의 통합된 모음입니다. 여기에는 암호화 방법, 디지털 인증서 사용 및 인증 기관(CA), 프로세스를 관리하기 위한 시스템 등이 포함됩니다.

R

상대 고유 이름(RDN) -- 개체 자체의 속성인 개체 이름의 일부입니다. 개체에 대한 RDN을 제공하는 속성을 명명 속성이라고 합니다. 고 유 이름을 참고하십시오.

복제 -- 데이터베이스 관리를 할 때 반복적으로 전체 데이터베이스나 데이터베이스의 하위 집합을 네트워크의 다른 서버로 복사함으로써 분산 데이터베이스의 동기화 상태를 유지하는 기능입니다. 주 사이트 복제, 공유 또는 전송된 소유권 복제, 대칭 복제(update-anywhere 또는 피어-투-피어 복제라고도 함), 돌발 사고 발생 대비(failover) 조치 복제 등 여러 가지 복제 방법이 있습니다. 여러 가지 복제 방법의 정의를 자세하게 보려면 기 술 백과 사전   을 참고하십시오.

Active Directory는 대칭 복제 형식을 가지는 멀티마스터 복제를 제공합니다. 멀 티마스터 복제를 참고하십시오.

S

스키마(schema) -- 전체 데이터베이스의 정의. 디렉터리에 저장할 수 있는 많은 개체는 스키마에서 정의됩니다. 각 개체 클래스의 경우, 스키마는 클래스의 인스턴스가 가질 수 있는 속성과 추가 속성 및 현재 개체의 Parent가 될 수 있는 개체 클래스를 정의합니다. 개 체, 속 성을 참고하십시오.

스키마 마스터(schema master) -- 포리스트 내의 스키마에 대한 모든 업데이트를 제어하기 위해 지정된 도메인 컨트롤러. 포리스트에는 언제든지 하나의 스키마 마스터가 있을 수 있습니다. 도 메인 컨트롤러, 포 리스트, 스 키마를 참고하십시오.

SID -- 보안 식별자. 액 세스 제어 항목을 참고하십시오.

단일 마스터 작업(single-master operation) -- 단일 마스터인 Active Directory 작업으로서 네트워크의 다른 위치에서 동시에 발생할 수 없습니다. 이러한 작업의 예로는 다음이 있습니다.

• 관계 식별자(RID) 할당
• 스키마 수정
• 주 도메인 컨트롤러(PDC) 선택
• 특정 하부 구조 변경

사이트 -- Active Directory 서버들을 담고 있는 네트워크의 위치입니다. 사이트는 하나 이상의 잘 연결된 TCP/IP 서브넷으로 정의됩니다. 잘 연결됨이란 네트워크 연결이 아주 안정적이고 빠르다는 뜻입니다(LAN 속도, 초당 10 MM 비트 이상).

사이트는 Active Directory 복제 서비스에서 주요한 역할을 합니다. 이것은 로컬 네트워크 연결(사이트 내 복제)을 사용한 복제와 느린 광역 네트워크(WAN) 링크(사이트 간 복제)를 사용한 복제 간을 구분 짓습니다. 관리자는 Active Directory 사이트와 서비스 관리자 스냅인을 사용하여 사이트 간 복제와 사이트 내 복제 모두에 대해 복제 토폴로지를 관리합니다.

저장소 -- 각 Active Directory 복제본을 위한 물리적 저장소입니다. 개체가 Active Directory에 저장될 때 시스템은 저장소의 복사본을 선택하여 개체를 작성합니다. 복제 시스템은 다른 모든 복제본에 개체를 복제합니다. 저장소는 ESE(Extensible Storage Engine)를 사용하여 구현됩니다. Extensible Storage Engine을 참고하십시오.

T

전이 트러스트(transitive trust) -- 도메인 트리나 포리스트의 Windows 2000 도메인들 간 또는 포리스트의 트리들 간에 고유하게 존재하는 트러스트 관계. 도메인이 기존 포리스트나 도메인 트리에 참여할 때 전이 트러스트가 자동으로 만들어집니다. 전이 트러스트는 항상 양방향 관계입니다. 도메인 트리의 parent-child간, 포리스트에 있는 도메인의 루트 도메인들 간의 트러스트 관계를 통해 포리스트의 모든 도메인이 인증을 위해 서로 신뢰하게 됩니다. 예를 들어, 도메인 A가 도메인 B를 신뢰하고 도메인 B가 도메인 C를 신뢰하면 도메인 A가 도메인 C를 신뢰합니다. 트 리, 포 리스트를 참고하십시오.

트리(tree) -- 양방향 전이 트러스트를 통해 서로 연결된 일련의 Windows NT 도메인 집합으로서, 공통 스키마, 구성 및 글로벌 카탈로그를 공유합니다. 도메인은 인접하는 계층적 이름 공간을 형성해야 합니다. 따라서 a.com이 트리의 루트이면 b.a.com이 a.com의 Child가 되고, c.b.a.com은 b.a.com의 Child가 되는 등의 방식이 적용됩니다. 스 키마, 포 리스트를 참고하십시오.

U

공통 그룹(universal group) -- 가장 간단한 그룹 형식입니다. 공통 그룹은 포리스트의 아무 위치에서나 ACL로서 나타날 수 있으며, 포리스트에 있는 다른 공통 그룹, 글로벌 그룹 및 사용자를 포함할 수 있습니다. 소규모 설치를 할 때는 글로벌 그룹 및 로컬 그룹과의 관계없이 독자적으로 공통 그룹을 사용할 수 있습니다.

W

잘 연결됨(well-connected) -- 네트워크의 클라이언트들이 네트워크와 Active Directory를 유용하게 사용할 수 있도록 충분히 연결된 상태를 말합니다. 이 용어의 정확한 의미는 사용자의 고유한 필요를 잘 충족시키는지에 따라 달라집니다.

X

X.500 -- 분산 디렉터리 서비스를 정의하는 표준들로서 ISO(International Standards Organization)에서 개발했습니다.