Active Directory 컨설팅

출처 : http://blog.naver.com/shjung3583/10120057614

Active Directory !!

 

정말 많은 얘기와 제안과, 세미나, 교육, 등등

 

지겨울 정도로 많이 들어본 단어가 아닐까 생각됩니다.

 

 

 

그러나, 흥미로운 사실은

 

Active Directory에 대해서 정의를 명확하게 내릴 수 있는 분을 많이 뵙지 못했다는 것입니다.

 

저 또한, AD에 대한 정의를 누군가 물어오면, 큰 한 숨을 쉬고 시작하게 되는 기술이니 말입니다.^^

 

 

 

1.     Active Directory 란?

 

Windows 2000 Server에 처음 도입된 서비스로

 Directory Service의 일종으로, IT 자원을 Database화 하여 사용자 및 관리자가 요청에 적절한 응답을 해주는 서비스로 정의 할 수 있습니다.

 

 

 

 

 예를 들어,

 특정 사용자의 정보를 알고 싶다거나, 특정 PC의 공유폴더를 검색하고 싶다거나, 내가 쓸 수 있는(권한), 쓰고 싶은(칼라, 흑백,위치)

 프린터를 검색/활용한다거나, 할 때 좀 더 효율 적으로 IT 자원을 검색 활용 할 수 있게 해 준다는 것입니다.

 

이것이 Directory Service의 핵심입니다.

 

 

 

 2000년 초반에는 ADS(Active Directory Service)의 도입이 Directory Service를 하기 위함을

그 목적으로 하였습니다.

서버 및 PC 중앙 관리, Naming Rule 표준화, 확장 성, 접근 권한, 본사, 지사간의 논리적인 Trust 구성, 등의 목적으로 도입이 되었고, 정리하면, IT 인프라 구축에 ADS가 활용되어졌다는 것입니다.

 

그러나, Windows2003Server 가 출시되면서

 기존 Directory Service 목적 외의 기술들이 ADS에 많이 탑재 되게 됩니다.

 

 

예를 들면,  

 

1.     Windows, Office, SQL, 등 MS 제품에 대한 패치 자동화

2.     내부 자료 유출 방지 방안

3.     PC의 보안 취약점 제거

4.     Windows를 업체 환경에 맞는 OS 재구성(customizing)

5.     특정 S/W 설치 및 사용 제어

6.     특정 S/W 배포

7.     기존 인사 시스템, 기간 계 시스템과의 AD 인사 연동

 

 

위의 기술 들이 활용 되어지고 있습니다.

 

 

 

그래서, 정의를 딱히 한마디로 내리기는 어렵고,

 

광범위하게 넓혀서 정의 하기 보다는

 

 

1.     계정 서버로서의 역할

A.     PC 로그온 계정을 사용 못하게 하고 Active Directory 계정 사용을 강제함.

B.      계정/암호 정책 표준화, 제어 가능

C.      생성 및 삭제, 이동을 중앙에서 제어가 가능

D.     Ldap 프로토콜을 통해 기존 ERP, Mail, CRM, 등의 계정을 AD 계정 하나로 통합하여 Windows 로그온 만으로SSO 구현

 

 

 

 

2.     보안 서버로서의 역할

A.     PC 및 사용자 계정을 AD에서 발급 함으로서 그에 따른 제어를 할 수 있음.

B.      레지스트리, IP변경, SW설치/제거, 특정 서비스 사용, USB 사용, Internet Explorer, 등 Windows 주요 기능을 제어 함으로서 보안 강화 가능

 

 

 

 

3.     MS 서버 제품을 설치 하기 위한 Infra로서의 역할

A.     MS 서버 제품(Exchange Server, MOSS, OCS, RMS, FCSMC, 기타)을 설치 시 ADS를 사전 설치 조건으로 요구함.

B.      상기 제품과의 SSO 제공이 그 목적

 

 

 

 

2.     도입 효과

 

 

1.     서버, 클라이언트 표준화

2.     사용자 계정 보안

3.     효과적인 패치 관리

4.     보안정책의 중앙관리

5.     자원 관리 강화

6.     S/W 관리 강화

 

 

 

3.     자산 관리 솔루션과 ADS의 비교

 

 

위의 내용을 살펴 보시면, 자산관리 솔루션에 대해서 제안 및 검토를 해보신 분이라면 자산관리 솔루션과 차이는 무엇인지 의문이 생길 수 있을 것입니다.

 

 

자산관리솔루션의 주요 기능을 살펴보면,

 

1.     SW 이력, 배포, 실행, 제거, 리포팅 기능

2.     HW 이력, 리포팅 기능

3.     원격제어

4.     그룹 별 정책 관리

 

 

등이 있습니다.

 

그리고 각 PC 별 Agent를 설치하여 Server/Agent 기반 관리가 이루어진다는 특징을 가지고 있습니다.

 

 

 

 

여기서 AD와 자산관리솔루션의 차이를 정리해보면,

 

1.     OS Layer 차원의 Windows 제어?, Application Layer의 기능 제어 수준이냐 라는 것입니다.

부팅 시, 로그 온 시 보안 정책 및 관리를 할 수 있는 것이 AD라고 한다면,

정상 부팅이 완료되어 로그 온 후 Agent Service가 정상 운용 되어야만 관리가 될 수 있는 것이 자산관리솔루션과의 차이입니다.

 

2.     Windows의 핵심 기능을 제어 할 수 있느냐?

A.     AD는 계정, MMC, Service, 제어판, 바탕화면, 화면보호기, 등 windows의 주요기능을 제어 할 수 있는 반면,

자산관리솔루션은 Windows 위의 정보를 제어하고 수집하고, 관리한다고 보면 됩니다.

 

 

 

그러면, AD만 도입하면 자산관리 및 보안 문제를 해결 할 수 있느냐 라는 의문이 들 것입니다.

 

결론부터 말씀 드리면, 아니라는 것입니다.

 

 

Active Directory의 주 목적은 IT 인프라 구축이 그 목적으로 합니다.

 

거기에 추가적으로 자산 관리 기능 및 보안 기능이 추가된 것이지, 주 목적은 아니라는 것입니다.

 

그래서, 자산 관리에서 제공 되어 지는

 

1.     로그 기록

2.     HW, SW 설치 이력 정보

3.     레포팅 기능

4.     원격 제어

 

위의 기능은 제공 되어 지지 않습니다.

 

 

 

그렇기 때문에 AD와 자산 관리 솔루션은 상호 보완 관계로 보고 접근을 해야 한다고 생각을 하고, 둘 중에 기능 비교를 통해 선택 하는 것이 아니라는 것입니다.

 

 

AD를 통해 Windows 플랫폼 환경을 표준화 및 인프라 구축을 한 후,

 

그에 부족한 기능(이력 관리, 원격, 문서보안, 로그 기록, 레포팅 기능, 기타)을 자산 관리 솔루션으로 보완 하는 형태로

 

구축을 하셔야  도입 목적으로 둔, PC 및 사용자 중앙 관리 및 보안 강화의 목적을 다 할 수 있다는 것입니다.

 

 

 

 

 

제가 컨설팅 하면서 느낀 Active Directory를 정리해보면,

 

 

우리가 Office로 문서 작업을 하거나, Internet을 하거나, 기타 Application을 통해 작업을 수행 할 때 꼭 필요한 S/W는Operating System 이듯이

 

Active Directory는 Windows 기반 기업 환경에서

 

OS 만큼이나 중요한 Position에 있다고 봅니다.

 

Windows 를 기업 환경에 맞는 Windows로 Customizing하여

 

5.     계정 보안 강화

6.     OS 기능 중앙 제어

7.     PC 및 사용자 표준화

8.     정책 기반 IT 인프라 관리

9.     자산 관리 인프라로서의 역할

 

위의 부분을 해결 할 수 있는 유일한 Tool 이기 때문입니다.

 

 

 

 

 

 

그리고 구축 절차를 살펴보면,

 

1.    인프라 분석

2.    분석된 내용을 개선하기 위한 목적과 향 후 확장 성을 고려한 설계

3.    Pilot 운영을 통한 사전 검증

4.    단계 별 서버/클라이언트 구축

5.    설계된 정책 및 Naming Rule 반영

6.    사용자 F/B에 따른 설계 반영 및 구축 반영

7.    유지 보수

 

위의 형태로 프로젝트가 수행 되게 됩니다.

 

 

윈도우 설치 하듯이 ADS를  설치 할 수도 있지만, 그렇게 진행 하시게 되면

 

향 후 확장 성에 대한 문제와 사용자의 업무 방해, 나아가 ADS 재 구축의 문제점이 발생 할 수 있습니다.(사실, 많이 사례를 봤구요.)

 

말 그대로 회사의 OS 통합 관리의 기반을 마련 하는 부분이기에

 

정확한 분석과 설계, 구축만이 ADS의 주요 도입 효과를 얻을 수 있다고 생각이 됩니다.

 

 

 

오늘은 기존과는 다르게 좀 더 기술 적인 부분을 서술 하여 보았습니다.

 

많이 딱딱한 내용일 수 있고, 관심 밖의 얘기 일 수도 있을 듯 합니다만,

 

 

제가 실제로 컨설팅/프로젝트 수행 하면서 실무적인 관점에서 말씀 드린 내용이오니,

 

AD라고 하는 것이 현재 타 업체에서는 저렇게 활용 되고 있구나 정도로 가볍게 봐 주시면 감사하겠습니다.

[출처] Active Directory 컨설팅을 진행 하면서,,,,,|작성자 지후아빠