일반적으로 도메인 컨트롤러와 액티브 디렉터리는 서로 동의어라고 생각하는 것이 일반적입니다. 실제로는 그들은 매우 다릅니다. 이러한 차이를 알면 어떻게 함께 작동하는지에 대해 더 잘 이해할 수 있습니다.
활성 디렉터리에 손상된 암호가 있는지 궁금하신가요? Specops Password Auditor를 다운로드하여 무료로 검사하세요.
이 글에서 우리는 Windows NT 용어를 중심으로 다룰 것입니다. 개념과 용어 중 많은 것들이 Linux에서도 동일하거나 유사합니다. 도메인 컨트롤러와 액티브 디렉터리에 대한 이야기를 전달하기 위해, 나는 한 클럽에 관한 이야기를 사용할 것입니다.
I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.
액티브 디렉터리에 대해 설명하고 있는 것을 찾고 계시다면, 올바른 장소에 오셨습니다.
도메인 컨트롤러
A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.
리스트에 없으면 들어갈 수 없습니다. 시도하면 추방당합니다! 이 클럽을 운영하는 사람이 필수적인 서비스를 제공받고 있는 것입니다. 그는 클럽을 운영하지 않을 때 IT 주제를 설명하는 이러한 블로그 글을 작성합니다.
도메인 컨트롤러(바운서 Ox) 또는 DC는 클럽의 보안 서비스를 제공합니다. 도메인 컨트롤러는 인증 요청(클럽에 가는 사람이 자신의 이름을 Ox에게 제공하는 것)에 사용되는 데이터베이스(‘A’ 리스트)를 호스팅합니다.
한 번 Ox가 클럽 고객을 인증하면 벨벳 로프를 분리하고 클럽 고객(사용자 또는 컴퓨터)을 통과시킵니다. 이것은 도메인 리소스(음료, 음악 및 클럽 내에서의 춤)에 접근할 수 있는 유일한 방법입니다.
Ox는 도움을 받기 위해 몇 명의 친구(도메인 컨트롤러 또는 DC로 작동하는 회원 서버)들이 도와줍니다. 그들 중 한 명이 클럽에서 추방된 화가에게 압도당한다면 그들 중 아무나가 들어와 보안 서비스를 계속할 수 있습니다.
Ox는 중복 보안 서비스를 제공하는 데 성공합니다. 그러나 Ox와 친구들은 Club BOFH에 입장이 허용되거나 허용되지 않은 클럽 고객 목록을 어떻게 얻을까요?
활성 디렉터리
Club BOFH는 독특합니다. 한 곳에만 위치하고 있습니다. 클럽 소유자인 Roscoe는 클럽에 입장하고 회원비를 지불한 모든 클럽 고객이 기록된 블랙 북을 가지고 있습니다.
사업이 계속 발전하면 Roscoe는 새로운 지점을 열 계획입니다.
Ox는 매일 밤 보안을 제공하는 동안 이 블랙 북을 사용합니다. Roscoe도 이 블랙 북을 정기적으로 업데이트합니다. 클럽 고객의 이름은 항상 추가되거나 제거되며, 종종 클럽 BOFH 내에서 클럽 고객이 할 수 있는 또는 할 수 없는 일들에 대한 메모도 포함됩니다.
Ox의 가장 가까운 친구인 Hanz(일일로 도움을 줍니다)는 이 블랙 북의 사본을 가지고 Ox의 목록과 가끔 비교합니다. Hanz의 목록에 포함되지 않은 Ox의 목록은 추가 또는 제거됩니다.
가끔 Ox는 집에 책을 두고 온 경우도 있습니다. 이는 Ox가 여전히 Hanz가 기록하고 공유한 내용을 확인할 수 있기 때문에 문제가 되지 않습니다.
액티브 디렉터리(Club BOFH) 도메인은 액티브 디렉터리 서버(Roscoe) 또는 ‘AD’ 서버와 액티브 디렉터리 서비스(작은 블랙 북)로 구성됩니다. 이 서비스는 사용자 및 컴퓨터 계정 정보와 같은 개체를 저장합니다.
Ox와 친구들은 Roscoe(디렉터리 도메인 컨트롤러)에서 고용되었으며 모두 동일한 도메인 서비스를 사용합니다. 이들은 모두 액티브 디렉터리 도메인에서만 작동하기 때문입니다.
추가로 알아야 할 용어
다음은 이해해야 할 중요한 정보입니다:
- 식별자는 단일 사용자 또는 컴퓨터일 수 있습니다. 또한 사용자 또는 컴퓨터의 그룹 일 수도 있습니다. Active Directory 사용자 및 컴퓨터(ADUC)를 보면 사용자 이름과 보안 그룹 이름을 볼 수 있습니다. 이들은 식별자입니다.
- A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
- A security identifier is just a key that is associated with an identity that determines authority on the domain.
- 계정은 사용자 또는 컴퓨터입니다. 사용자 계정은 사용자 식별자와 관련된 정보를 저장하며 파일 공유와 같은 네트워크 리소스에 대한 액세스를 확인하는 데 사용됩니다.
컴퓨터 계정에는 도메인에 계정을 인증하는 정보가 포함됩니다. 각 컴퓨터 계정에는 고유한 보안 식별자(SID)가 포함됩니다.
도메인 컨트롤러 대 액티브 디렉터리 뿐만 아니라
액티브 디렉터리에서 규정 준수 요구 사항을 강제로 시키고 30억 개 이상의 침해된 암호를 차단하며 동적 사용자 피드백을 통해 더 강력한 암호를 만들도록 사용자를 돕습니다. Specops Password Policy에 대해 오늘 저희에게 문의하세요!
이전에 Club BOFH를 예로 들었던 시나리오를 기억하세요.
컴퓨터에 앉아 로그인을합니다. 컴퓨터는 이미 도메인의 구성원입니다. 컴퓨터에 할당된 SID를 사용하여 인증된 계정을 가지고 있으므로이 컴퓨터는 네트워크 리소스에 액세스 할 수 있습니다.
이는 컴퓨터와 도메인 컨트롤러 간의 보안 키 교환을 통해 수행되었습니다.
이제 사용자 이름을 입력하십시오. 이는 사용자 계정에 연결된 신원입니다. 계정에는 SID가 있으며 보안 주체는 로컬 로그온 권한을 할당합니다. Microsoft Outlook 프로그램은 회사의 Exchange 서버를 사용하여 이미 구성되어 있습니다.
이 모든 정보는 Active Directory에 할당됩니다. 컴퓨터 계정에는 위치와 관리자 정보와 같은 데이터가 저장될 수도 있습니다.
결론
Active Directory가하는 일과 도메인 컨트롤러가하는 일의 차이는 프로세스를 시각화 할 수 있다면 어려운 주제가 아닙니다. 도메인 컨트롤러는 권한을 인증하고 Active Directory는 신원과 보안 액세스를 처리한다는 것을 기억하는 것이 가장 쉽습니다.
추가 학습 자료
더 알고 싶으세요? Windows 및 Linux에 대한 몇 가지 깊은 기술적 설명을 다루는 몇 가지 자료가 있습니다.
Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/