Active Directory의 관리 권한 위임 시 디자인 고려 사항

이 문서의 내용

소개 위임 개념 포리스트, 도메인 및 조직 단위에 관리 권한 위임 서비스 관리자를 위한 최선의 방법과 도메인 컨트롤러에 대한 실질적인 액세스 제한 결론 부록 - 서비스 관리자의 트러스트 요구 및 도메인 컨트롤러 액세스 요구에 대한 배경

포리스트, 도메인 및 조직 단위에서 자율성과 격리 구현

요약

Microsoft Windows 2000의 Active Directory 디렉터리의 핵심 기능은 관리 권한의 위임입니다. 관리 권한을 위임하면 여러 조직에 걸쳐 운영할 수 있는 디렉터리 인프라를 설계할 수 있으며 각 조직의 독립 실행에 필요한 요구 사항도 구조적, 운영적으로 만족시킬 수 있습니다.

Active Directory에서 관리자는 서비스 관리와 데이터 관리를 모두 위임할 수 있으며, 위임된 관리 권한은 조직 간에 자율성이나 격리를 보장합니다. 이 백서는 포리스트, 도메인 또는 조직 단위(OU)로 관리 권한을 위임하는 경우 Active Directory 디자인에 대해 고려할 사항과 보안 개념에 대해 설명합니다.

소개

Microsoft Windows 2000 Active Directory 디렉터리의 핵심 기능은 관리의 위임입니다. 관리 권한을 위임하면 여러 조직에 걸쳐 운영할 수 있는 디렉터리 인프라를 설계할 수 있으며 각 조직의 관리 요구 사항은 서로 달라도 됩니다. 특히, Active Directory의 관리 위임 기능은 조직을 독립적으로 실행하는 데 필요한 구조적, 운영적 요구 사항을 충족시킬 수 있습니다.

Active Directory에서 관리자는 서비스 관리와 데이터 관리를 모두 위임할 수 있습니다. 위임된 관리 권한은 조직 간에 자율성이나 격리를 보장합니다. 이 문서는 포리스트, 도메인 또는 조직 단위(OU)로 관리 권한을 위임하는 경우 Active Directory 디자인에 대해 고려할 사항과 보안 개념에 대해 설명합니다.

이 문서는 Active Directory 계획 및 구축과 관련된 개념과 절차를 이해하고 있는 사용자를 대상으로 합니다. Active Directory 계획 및 구축에 대한 자세한 내용은 다음 사이트에서 최선의 구축 방법(Best Practice Deployment) 문서 시리즈를 참조하십시오. http://www.Microsoft.com/windows2000/techinfo/planning/activedirectory/bpaddsgn.asp 

위임 개념

Active Directory에서 관리를 위임하는 방법을 이해하기 전에 먼저 조직에서 관리를 위임해야 하는 이유와 위임할 수 있는 관리 유형을 이해해야 합니다.

관리를 위임하는 이유

조직에서 관리를 위임하는 일반적인 이유 세 가지는 다음과 같습니다.

• 조직의 구조— 조직의 각 부서는 비용 절감을 위하여 공유 인프라의 구성원이 될 수도 있지만 다른 부서와 독립적으로 운영할 수 있는 능력도 필요합니다.
• 운영상의 요구 사항— Active Directory를 사용하는 조직 또는 응용 프로그램의 일부분에만 디렉터리 서비스 구성, 가용성, 보안 등에 대해 고유한 제약 사항을 적용하려 할 수 있습니다. 다음과 같은 조직에서 그 예를 찾을 수 있습니다.
• 군사 조직
• 호스팅 시나리오
• 엑스트라넷 또는 외부 접촉 디렉터리 시나리오
• 법적인 요구 사항— 일부 조직에서는 법적 요구 사항을 지정하여 특정 정보에 대한 액세스를 제한하는 등 지정된 방식으로 조직이 운영되도록 강제할 수 있습니다. 이러한 요구 사항은 일반적으로 다음과 같은 조직에 적용됩니다.
• 금융 기관
• 방위 산업 업체
• 정부 조직

이러한 이유로, 조직에서는 서비스 관리, 데이터 관리 또는 둘 다에 대해 제어 권한을 위임해야 할 수 있습니다. 조직별 요구에 따라, 격리, 자율성 또는 두 가지를 모두 구현하여 이러한 위임의 목적을 달성할 수 있습니다. Active Directory 디자인의 첫 번째 단계는 조직의 요구 사항을 서비스 관리, 데이터 관리, 자율성 및 격리 개념별로 정확하게 정의하는 것입니다. 다음은 이러한 개념에 대한 설명입니다.

서비스 관리와 데이터 관리

Active Directory에서 위임하는 관리 책임은 두 가지로 나뉘는데, 디렉터리 서비스의 배달에 대한 책임을 서비스 관리라 하고 디렉터리 서비스에서 저장하고 보호하는 컨텐트에 대한 책임을 데이터 관리라 합니다. 이러한 책임이 있는 관리자는 서비스 관리자 또는 데이터 관리자입니다.

• 서비스 관리자— Active Directory 서비스 관리자는 디렉터리 서비스의 구성과 배달을 담당합니다. 예를 들어, 서비스 관리자는 도메인 컨트롤러 서버를 유지 관리하고, 디렉터리의 구성 설정을 제어하고, 서비스가 사용 가능한지 확인하는 일을 담당합니다.
• 데이터 관리자— Active Directory 데이터 관리자는 Active Directory에 저장된 데이터나 Active Directory에 연결된 컴퓨터에 있는 데이터를 관리하는 일을 담당하며 디렉터리 서비스의 구성이나 배달에 대한 제어 권한은 없습니다. 다음과 같은 관리자를 데이터 관리자라 합니다.
• 디렉터리의 하위 개체들을 제어하는 관리자. 상속이 가능한 특성 차원의 엑세스 제어를 통해 데이터 관리자는 디렉터리의 특정 부분에 대한 제어 권한만 부여 받으며 서비스 자체를 구성하는 권한은 없습니다.
• 디렉터리에 연결된 구성원 컴퓨터와 해당 컴퓨터에 저장되어 있는 데이터를 관리하는 관리자
• 대부분 디렉터리의 서비스 구성은 디렉터리에 저장된 개체의 특성 값에 의해 결정됩니다. 따라서 Active Directory의 서비스 관리자도 데이터 관리자라고 할 수 있습니다.

자율성과 격리

조직에 권한을 위임할 때 필요한 요구 사항은 자율성과 격리입니다.

• 자율성— 자율성이란 조직의 관리자가 다음 사항을 독립적으로 관리할 수 있는 능력을 말합니다.
• 전체 또는 일부 서비스 관리(서비스 자율성)
• 디렉터리에 있는 데이터 또는 디렉터리에 연결된 구성원 컴퓨터에 저장되어 있는 전체 또는 일부 데이터(데이터 자율성)
• 격리— 격리란 한 조직의 관리자가 다음 사항을 자신만 수행할 수 있도록 제한하는 능력을 말합니다.
• 서비스 관리 제어 또는 조정(서비스 격리)
• 디렉터리에 있는 데이터 또는 디렉터리에 연결된 구성원 컴퓨터에 저장되어 있는 데이터 하위 집합을 제어 또는 보기(데이터 격리)

자율성은 격리보다 덜 제한적입니다. 자율성만 적용된 시스템의 관리자는 해당 시스템에 대해 동일하거나 그 이상의 권한을 가지는 관리자가 시스템을 동일하게 제어하거나 그 이상의 제어 권한을 가질 수 있도록 허락합니다. 격리를 적용한 시스템의 관리자는 다른 관리자가 서비스 또는 데이터 관리 부분을 보거나 제어하지 못하게 막습니다. 이와 같이 자율성이 격리보다 덜 제한적이므로 Active Directory에서는 자율성을 위임하는 것이 더 저렴하고 효율적입니다.

서비스 관리, 데이터 관리, 자율성 및 격리에 대한 필요성을 조합하여 조직에 제어 권한을 위임하는 데 사용할 Active Directory 구조를 결정합니다.

참고 중소 규모의 조직인 경우에는 단일 IT 그룹에서 Active Directory의 모든 서비스 및 데이터를 관리하는 것이 일반적입니다. 시스템에 자율성 또는 격리를 적용할 필요가 없는 이러한 조직에서는 단일 포리스트, 단일 도메인 Active Directory 디자인을 사용할 수 있으며, 이 문서에서 설명하는 절차는 참조용으로만 사용하십시오.

포리스트, 도메인 및 조직 단위에 관리 권한 위임

Active Directory에서는 포리스트, 도메인, OU(조직 단위)의 세 가지 구조에 관리 권한을 위임할 수 있습니다. 다음 단원에서는 각 구조의 특성을 간단히 설명하고, 특정 위임 요구 사항을 고려하여 구조를 선택하는 적절한 시기가 언제인지에 대해서도 설명합니다.

Active Directory 디자인에 대한 자세한 내용은 다음 사이트에서 최선의 구축 방법 문서 시리즈를 참조하십시오. http://www.Microsoft.com/windows2000/techinfo/planning/activedirectory/bpaddsgn.asp 

포리스트, 도메인 및 조직 단위

다음에 설명하는 위임 개념을 이해하기 위해서는 Active Directory 포리스트, 도메인 및 조직 단위의 정의와 관리 특성을 간단히 살펴 보는 것이 유용합니다.

포리스트는구성 및 스키마를 공유하는 도메인 컬렉션으로, 논리적인 단일 글로벌 카탈로그로 표현되며 전이적 트러스트 트리로 연결됩니다. 단일 포리스트는 포리스트 루트 도메인으로 표현되기도 합니다. 포리스트의 기본 관리 소유자는 포리스트 루트 도메인의 Domain Admins 그룹입니다. 포리스트 루트의 Domain Admins 그룹은 Enterprise Admins 및 Schema Admins 그룹의 등록을 제어하며, 이들 그룹은 기본적으로 포리스트의 구성 설정을 제어할 수 있습니다. 포리스트 소유자가 도메인 컨트롤러를 제어하므로 포리스트 소유자가 서비스 관리자에 해당합니다.

도메인은 Active Directory 포리스트의 파티션에 해당합니다. 도메인의 기본 관리 소유자는 해당 도메인의 Domain Admins 그룹입니다. 도메인 소유자가 도메인 컨트롤러를 제어하므로 도메인 소유자가 서비스 관리자에 해당합니다. 포리스트에서 루트 도메인 이외의 도메인 소유자는 이름 계층 구조의 위치에 상관 없이 모두 동등합니다. 루트 도메인이 아닌 이상 부모 도메인의 소유자는 자식 도메인에 대해 기본적인 관리 권한이 없습니다.

OU(조직 단위)는 도메인 내의 컨테이너입니다. OU 및 OU의 개체에 대한 제어 권한은 해당 ACL(액세스 제어 목록)에서 모두 결정됩니다. OU의 개체에 대해 제어 권한을 가지는 사용자와 그룹은 데이터 관리자입니다.

포리스트에 속해 있는 조직의 수가 많을수록 공동 작업을 통해 얻을 수 있는 이점과 비용 절감 효과가 더 커집니다. 그러므로 Active Directory 구축 시 포리스트의 수를 최소화하는 것이 가장 좋은 방법입니다. 그러나 위임 목적을 달성하기 위해 여러 포리스트를 구축해야 하는 경우가 있습니다.

예를 들어, 관리 제어 권한이 고도로 분산되어 있는 조직의 경우 모든 조직을 동일한 인프라에 포함시킬 수는 없습니다. 이러한 경우 비용을 들여서 포리스트를 추가해야 이러한 실제적인 요구 사항을 만족시킬 수 있습니다.

디렉터리 구조 및 디렉터리 구조 소유자

위임할 디렉터리 구조를 선택할 때 Active Directory 구조 및 해당 관리자에 대해 다음 사항을 고려해야 합니다. 구조 선정 절차 중 이러한 사항을 적용하는 방법은 이 문서의 뒷부분에 나오는 "위임 요구 사항에 따른 구조 선택"을 참조하십시오.

1. 도메인 소유자는 포리스트 소유자가 도메인의 서비스를 제어하고 데이터에 액세스하는 것을 금지할 수 없습니다. Enterprise Admins의 도메인 액세스 권한은 박탈할 수 있지만 포리스트 소유자가 비루트 도메인의 개체에 액세스하는 것을 막는 것은 불가능합니다. 예를 들어, 포리스트 루트 도메인의 Domain Admins 그룹에서 제어하는 Schema Admins 그룹의 구성원은, 개체 클래스의 기본 보안 설명자를 수정하여 새로 만들어진 해당 클래스 개체에 대한 완전한 제어 권한을 Enterprise Admins 그룹에 부여할 수 있습니다. 따라서 포리스트에 포함된 조직은 포리스트 소유자를 트러스트해야 합니다.
2. 도메인 소유자는 도메인에 저장되어 있거나 도메인에 연결된 컴퓨터에서 호스팅하는 데이터에 대한 액세스 권한을 관리합니다. 도메인의 서비스 관리자는 도메인에 있는 데이터나 도메인에 연결된 컴퓨터에 저장된 데이터를 조작하거나 볼 수 있습니다. 이것은 Active Directory의 다음과 같은 특징 때문입니다.
• 도메인 컨트롤러의 Builtin\Administrators 그룹은 개체의 이전 ACL에 관계 없이 해당 도메인 개체의 소유권이 있으므로 개체를 수정, 삭제, 또는 읽을 수 있습니다. 이 기능을 통해 서비스 관리자는 개체에 대한 ACL의 오류를 수정할 수 있습니다. 따라서 도메인 OU에 데이터를 저장하고 있는 조직은 도메인 소유자를 트러스트해야 합니다.
• 서비스 관리자는 도메인 컨트롤러의 시스템 소프트웨어를 고의로 수정하여 정상적인 보안 검사가 수행되지 않도록 할 수 있습니다. 서비스 관리자는 개체에 대한 ACL에 관계 없이 이 절차를 통해 도메인상의 모든 개체를 보거나 수정할 수 있습니다. 따라서 도메인 OU에 데이터를 저장하고 있는 조직은 도메인 소유자를 트러스트해야 합니다.
• 서비스 관리자는 Restricted Groups 보안 정책을 사용하여 도메인에 연결되어 있는 컴퓨터에 대한 관리 액세스 권한을 사용자나 그룹에 부여할 수 있습니다. 이 기능을 통해 관리자는 컴퓨터 소유자의 의도에 관계 없이 도메인에 연결된 컴퓨터를 항상 제어할 수 있습니다. 따라서 도메인을 사용하는 조직에서는 도메인 소유자를 트러스트해야 합니다.
• 도메인의 사용자나 그룹에게 포리스트의 데이터에 대한 액세스 권한이 부여되면 사용자 또는 그룹 도메인의 소유자는 사용자 암호를 재설정하거나 그룹 등록을 조작할 수 있으며 이러한 작업을 통해 데이터에 대한 액세스 권한을 얻을 수 있습니다. 따라서 포리스트를 사용하는 조직에서는 포리스트의 모든 도메인 소유자를 트러스트해야 합니다.
3. 도메인 소유자는 불순한 의도를 갖는 다른 도메인 소유자가 서비스를 제어하고 데이터에 액세스하는 것을 막을 수 없습니다. Active Directory의 포리스트는 견고하게 연결되어 있으므로 도메인 소유자는 불순한 방법으로 포리스트에 있는 다른 도메인에 대한 액세스 권한을 얻을 수 있습니다. 예를 들어, 악의 있는 도메인 소유자가 도메인 컨트롤러의 시스템 소프트웨어를 수정할 수 있습니다. 그러면 포리스트에 있는 모든 도메인 작동에 개입하고, 포리스트 구성 데이터를 보거나 조작하며, 도메인에 저장된 데이터를 보거나 조작하고, 포리스트에 연결된 컴퓨터에 저장되어 있는 데이터를 보거나 조작할 수 있습니다. 따라서 포리스트 소유자는 포리스트에 있는 모든 도메인 소유자를 트러스트해야 하며 포리스트의 모든 도메인 소유자는 서로를 트러스트해야 합니다.
4. 포리스트 내의 도메인 컨트롤러는 서로 격리될 수 없습니다. Active Directory의 분산 특성 때문에 단일 도메인 컨트롤러에서 보안 문제가 발생할 경우 전체 포리스트에 영향을 줄 수 있습니다. 예를 들어, 단일 도메인 컨트롤러에 대해 실질적인 액세스 권한을 가지는 공격자가 오프라인 상태에서 디렉터리 데이터베이스를 변경할 수 있으며, 이를 통해 포리스트에 있는 도메인의 작동에 개입하고, 포리스트의 다른 위치에 저장되어 있는 데이터를 보거나 조작하고, 포리스트에 연결된 컴퓨터에 저장되어 있는 데이터를 보거나 조작할 수 있습니다. 따라서, 도메인 컨트롤러에 대한 실질적인 액세스 권한은 트러스트된 직원으로만 제한되어야 합니다.

서비스 관리자 트러스팅

디렉터리 구조 및 디렉터리 구조 소유자와 관련된 여러 개념을 종합해 보면, 조직이 포리스트 또는 도메인 인프라에 합류하려면 포리스트 및 모든 도메인에 있는 서비스 관리자 모두를 트러스트하도록 선택해야 합니다. 여기서 서비스 관리자를 트러스트한다는 것은 다음과 같은 의미를 갖습니다.

• 서비스 관리자는 조직의 최대 이익을 위해 노력합니다. 포리스트나 도메인 소유자가 조직에 위해를 가할 타당한 근거가 있는 경우, 조직은 해당 포리스트나 도메인에 합류되면 안됩니다.
• 서비스 관리자는 서비스 관리자에 가장 적합한 방식을 따르며 도메인 컨트롤러에 대한 실질적인 액세스 권한의 제한을 준수합니다. 이러한 방식에 대한 자세한 내용은 이 문서 뒷부분에 나오는 "서비스 관리자를 위한 최선의 방법과 도메인 컨트롤러에 대한 실질적인 액세스 제한"을 참조하십시오.
• 불량(rogue) 관리자 및 강제적(Coerced) 관리자와 관련되어 조직에서 경험할 수 있는 위험 요인을 이해하고 받아 들입니다.
• 불량(rogue) 관리자 — 주로 트러스트된 관리자가 불량(rogue) 관리자로 될 수 있으며 시스템에서 자신의 권한을 남용할 수 있습니다.
• 강제적(Coerced) 관리자 — 주로 트러스트된 관리자가 시스템의 보안을 침해하는 작업을 수행하도록 강요 받을 수 있습니다.

일부 조직에서는 조직의 다른 부분에 있는 불량(rogue) 또는 강제적(coerced) 서비스 관리자로 인해 보안이 침해될 수 있다는 사실을 인정합니다. 일부 조직에서는 공유 인프라에 참여함으로써 얻게 되는 공동 작업의 이점과 비용 절감 측면 때문에 이러한 위험을 감수할 수 있다고 결정할 수도 있습니다. 그러나 일부 조직은 보안 침해의 결과가 너무 심각해서 이러한 위험을 용인하지 못하는 경우도 있습니다.

참고 이전에 게시된 Active Directory 설명서에는 도메인이 보안 경계가 된다는 사실이 설명되었지만 포리스트 내의 도메인 간에 허용되는 자율성 및 격리 수준에 대해서는 자세히 언급되지 않았습니다. Active Directory의 관리 측면에서 보면 도메인은 사실상 보안 경계에 해당하지만 불순한 의도로 시스템의 동작을 수정하는 서비스 관리자의 공격에 대비한 완벽한 격리 기능을 제공하지는 못합니다. 자세한 내용은 이 문서의 부록 부분을 참조하십시오.

위임 요구 사항에 따른 구조 선택

그림 1에서는 조직의 특정 위임 요구 사항에 적합하게 개별 포리스트, 도메인 또는 OU의 제어 권한을 위임하는 과정을 보여 줍니다. 이 프로세스를 사용하려면 다음의 개념적 절차를 수행하십시오.

1. 모든 조직을 단일 도메인 포리스트에 배치합니다.
2. 각 조직에 고유한 관리 요구 사항을 지정하고 다음 의사 결정 프로세스를 사용하여 적절한 작업 과정을 결정합니다.
3. 합리적인 의사 결정을 위해 다음 사항을 고려합니다.
• 하나 이상의 조직, 운영, 법적 또는 기타 요구 사항을 고려해 위임 요구 사항을 결정했는지 여부
• 위임 요구 사항이 서비스 관리인지, 데이터 관리인지 또는 둘 다인지 여부
• 위임 요구 사항이 자율성인지, 격리인지 또는 둘 다인지 여부

다음 그림 1은 관리 위임에 대한 의사 결정 프로세스를 나타내며 각 시나리오에 대한 자세한 내용은 다음 절에서 다룹니다.

현재 사용하는 브라우저가 인라인 프레임을 지원하지 않을 경우 여기를 누르면 새 창에서 볼 수 있습니다.

그림 1 조직의 위임 요구 수준을 결정하기 위한 프로세스

시나리오 1: 서비스 격리를 위한 포리스트 만들기

서비스 격리를 필요로 하는 조직의 경우 조직 외부의 관리자가 디렉터리를 조작할 수 없도록 해야 합니다. 서비스 격리는 일반적으로 운영 또는 법적 요구 사항 때문에 수행됩니다. 서비스 격리를 적용하려면 조직에 새로운 포리스트를 만드십시오.

운영적으로 서비스 격리가 필요한 경우는 다음과 같습니다.

• 작업장의 장비를 제어하는 업무를 위해 Active Directory를 사용하여 응용 프로그램을 실행하는 제조 회사의 경우. 이 회사에서 공장 장비를 가동하는 것이 가장 중요한 업무라면 회사 전체의 일반 업무를 위한 단일 포리스트를 만들고 각 중요 공장에 대해서는 별도의 포리스트를 만듭니다. 이 방식을 사용하면 중요 공장은 회사 전체의 포리스트 상태 및 다른 공장 상태에 관계 없이 계속 운영될 수 있습니다.
• 전투선 한 대의 함락이 함대나 해군 전체의 작업에 지장을 주지 않도록 해야 하는 해군의 경우. 해군에서는 전투선 한 대가 함락된 경우 다른 배에 영향을 미치지 않도록 하기 위해 각 배에 대해 별도의 포리스트를 만들 수 있습니다.
• 클라이언트 고객 별로 도메인 컨트롤러를 배치하려는 호스팅 업체의 경우. 단일 도메인 컨트롤러의 보안이 침해될 경우 나머지 포리스트의 서비스 배달에 영향을 줄 수 있으므로 도메인 컨트롤러를 필요로 하는 각 클라이언트에 대해 별도의 포리스트를 만들 수 있습니다. 이렇게 하지 않을 경우, 해당 도메인 컨트롤러에 대해 액세스 권한을 가지는 클라이언트가 불순한 의도로 동일한 포리스트에 있는 다른 클라이언트의 디렉터리 작동에 개입할 수 있습니다.

서비스 격리 포리스트를 구현할 경우 다음과 같은 사항을 고려해야 합니다.

• 서비스 격리를 위해 만들어진 포리스트는 다른 포리스트의 도메인을 트러스트할 수 있지만 다른 포리스트의 사용자를 관리 그룹에 포함시키면 안됩니다. 다른 포리스트의 사용자가 격리된 포리스트의 관리 그룹에 포함될 경우 다른 포리스트에서 보안 문제가 발생하면 격리된 포리스트에도 영향을 미칠 수 있습니다.
• 별도의 포리스트를 만들 경우 서비스를 격리시킬 수 있지만 도메인 컨트롤러가 네트워크에 연결되어 있는 한 해당 네트워크의 컴퓨터로부터 공격(예: 서비스 거부 공격)을 받을 수 있습니다. 공격에 따른 위험이 대단히 크다든지, 공격 또는 보안 침해의 결과가 아주 부정적이라고 판단하는 조직은 다음과 같이 하십시오.
• 도메인 컨트롤러를 호스팅하는 네트워크의 신뢰도를 신중하게 고려합니다.
• 도메인 컨트롤러를 호스팅하는 네트워크에 대한 액세스를 제한합니다.

방화벽이나 IPSEC와 같은 기술을 사용하여 액세스를 제한할 수 있습니다. 방화벽 및 IPSEC를 통한 액세스 제한에 대한 자세한 내용은 http://www.Microsoft.com/technet/prodtechnol/windows2000serv/reskit/ 사이트에서 Windows 2000 Server Resource Kit을 참조하십시오.

시나리오 2: 포리스트 수준의 서비스 자율성을 위한 포리스트 만들기

포리스트는 공유된 스키마 컨테이너 및 구성 컨테이너를 포함하는 도메인 집합으로 구성됩니다. 이러한 컨테이너는 포리스트 소유자에 의해 제어됩니다.

• 스키마: 포리스트의 스키마는 디렉터리에 만들 수 있는 개체 클래스와 해당 개체와 관련된 특성을 결정합니다. Active Directory를 지원하는 응용 프로그램은 응용 프로그램 고유의 데이터를 포함하도록 스키마를 확장할 수 있습니다.
• 구성: 구성 컨테이너에 저장되어 있는 데이터는 다음과 같습니다.
• 포리스트의 사이트 토폴로지와 복제 토폴로지를 정의하는 데이터
• 전체 포리스트의 다양한 정책 설정 정보. 여기에는 사이트 기반 정보나 도메인 컨트롤러에 대한 포리스트의 LDAP 정책 등이 포함됩니다.
• 포리스트 및 트러스트 계층에서 도메인 집합을 식별할 수 있는 정보. 포리스트의 모든 도메인은 서로 트러스트합니다. 포리스트 소유자는 이러한 구성 데이터 제어를 통해 포리스트에 새 도메인을 생성하는 것을 제어합니다.
• Active Directory를 사용하는 응용 프로그램은 포리스트 전체의 구성 데이터를 구성 컨테이너에 저장할 수 있습니다. 이러한 응용 프로그램의 예로는 Microsoft Exchange 2000 Server가 있습니다.

조직이 스키마 또는 구성 컨테이너를 독립적으로 조작하기 위해서는 자체 포리스트가 있어야 합니다. 이러한 요구 사항은 주로 조직 구조나 운영상의 필요에 인해 나타납니다.

포리스트 수준의 서비스 자율성이 필요한 조직 구조의 예는 다음과 같습니다.

• 회사 내의 한 부서에서 다른 부서와 상관 없이 Active Directory를 사용하는 응용 프로그램을 설치하여 스키마를 확장하려는 경우. 별도의 포리스트를 만드는 데 드는 비용과 포리스트 수준의 자율성을 구현하기 위해 별도의 포리스트를 관리하는 데 드는 추가 비용은 동일합니다.

운영상 포리스트 수준의 서비스 자율성이 필요한 경우는 다음과 같습니다.

• 한 호스팅 회사에서 고객들이 직접 제작하고 Active Directory를 사용하는 응용 프로그램을 설치하여 스키마를 확장시킬 수 있게 하려는데 해당 소프트웨어가 Windows 로고 프로그램의 인증을 받지 못한 경우. 다른 고객들은 인증되지 않은 응용 프로그램을 수용하지 않을 것이므로 해당 고객은 스키마를 자율적으로 제어할 필요가 있습니다. 이를 위해 호스팅 회사에서는 해당 고객에게 별도의 포리스트를 지정해야 합니다.

포리스트 수준의 서비스 자율성을 위해 포리스트를 만들 때는 다음 사항을 고려해야 합니다.

• 조직 구조상의 요구 사항에 따라 별도의 포리스트를 생성하기로 결정한 조직에서는 다중 포리스트를 구축하는 경우의 이점과 발생되는 비용의 균형을 조정해야 한다는 것을 인지하고 있어야 합니다. 조직에서는 자율적인 서비스 작동을 선호하지만 중앙의 트러스트된 IT 그룹에서 서비스를 전달하는 것이 비용적인 측면에서 더 효율적일 수 있습니다. 이러한 방식으로 조직의 IT 그룹은 포리스트의 데이터 관리에 참여할 수 있으며 전문적인 디렉터리 서비스 관리 지식을 얻는 비용을 절감할 수 있습니다. 이 시나리오에서 적절한 비용을 소요하면서 최대의 이점을 얻는 방법에 대해서는 다음 웹 사이트의 Active Directory 최선의 구축 방법 문서를 참조하십시오. http://www.Microsoft.com/windows2000/techinfo/planning/activedirectory/bpaddsgn.asp 

시나리오 3: 도메인 수준의 서비스 자율성을 위한 도메인 위임

조직에서는 포리스트 소유자가 결정하는 전체 포리스트 구성 적용을 허용하면서 동시에 도메인 수준의 서비스에 자율성을 부여하려고 합니다. 도메인 수준에서 독립적으로 제어되는 서비스 요소는 다음과 같습니다.

• 서비스 가용성 — 도메인 소유자는 원하는 수준의 서비스를 사용하기 위해 도메인 컨트롤러를 생성, 제거, 백업, 복원할 수 있습니다.
• 외부 트러스트 — 도메인 소유자는 다른 포리스트에 트러스트할 도메인을 결정할 수 있습니다.
• 도메인 사용자 계정 정책 — 도메인 사용자 계정을 제어하는 정책 중에서 도메인 수준에서만 제어될 수 있는 정책이 있습니다. 다음 정책이 여기에 해당합니다.
• 암호 정책
• 계정 잠금 정책
• Kerberos 티켓 수명 정책

이러한 서비스를 자율적으로 제어할 수 있도록 포리스트 소유자는 조직에 도메인을 위임할 수 있습니다. 도메인을 위임할 때 고려해야 할 사항은 다음과 같습니다.

• 이 문서 앞부분에서 설명한 Active Directory에 대한 내용에 따르면("디렉터리 구조 및 디렉터리 구조 소유자" 참조) 포리스트 소유자와 모든 도메인 소유자가 위임된 조직의 도메인 소유자를 트러스트하는 경우 포리스트 소유자는 조직에 도메인을 위임하기만 하면 됩니다. 이러한 점에 비추어 볼 때, 해당 포리스트를 담당하는 단일 조직에 포리스트 및 도메인 서비스의 소유권을 집중화시키고 도메인은 지리적 복제 파티션용으로만 사용하는 것이 가장 좋습니다. 모든 서비스 관리자는 트러스트되므로 전체 OU 수준에서는 안전하게 위임할 수 있습니다.
• 도메인은 도메인 수준의 서비스 자율성을 제공하지만 포리스트 소유자 또는 다른 도메인 소유자로부터 데이터를 격리하지는 못합니다. 조직에서 서비스 소유자로부터 데이터를 격리하려면 별도의 포리스트를 만드십시오. 자세한 내용은 이 문서 뒷부분에 나오는 "시나리오 4: 서비스 소유자로부터 데이터를 격리하기 위해 포리스트 만들기"를 참조하십시오.
• 대규모 조직에서는 포리스트를 소유하는 IT 조직과 다른 모든 디렉터리 작동을 관리하는 IT 조직이 서로 다를 수 있습니다. 이러한 경우에는 전용 포리스트 루트 도메인을 만드는 것이 가장 바람직합니다. 포리스트 루트 도메인 소유자는 전용 포리스트 루트 도메인을 제어하며 IT 조직에는 하나 이상의 자식 도메인에 대한 소유권이 부여됩니다. 그러면 IT 조직에서는 서비스 가용성을 자율적으로 관리할 수 있지만 포리스트 루트 도메인의 Enterprise Admins 및 Schema Admins 그룹의 등록은 제어하지 못합니다. 전용 포리스트 루트는 실수로 또는 고의로 권한이 잘못 사용되지 않도록 보호하는 기능만 제공합니다. 따라서 비루트 도메인의 소유자가 불순한 의도로 루트 도메인 그룹을 조작할 수 있습니다.

지리적 도메인 분할 및 전용 포리스트 루트 도메인을 디자인하는 최선의 방법에 대한 자세한 내용은 http://www.Microsoft.com/windows2000/techinfo/planning/activedirectory/bpaddsgn.asp  사이트에서 최선의 구축 방법 시리즈를 참조하십시오.

시나리오 4: 서비스 소유자로부터 데이터를 격리하기 위해 포리스트 만들기

Active Directory에 있는 데이터 및 Active Directory에 연결된 컴퓨터에 저장되어 있는 데이터는 디렉터리 서비스 관리자로부터 격리할 수 없으므로, 조직에서는 별도의 포리스트를 만들어야만 데이터를 격리할 수 있습니다. 서비스 관리자가 정상적으로 트러스트된 상태에서 일부 불량(rogue) 또는 강제적(coerced) 관리자의 공격에 의해 조직에 큰 영향을 미칠 수 있는 경우 조직의 데이터를 격리합니다. 일반적으로 법적인 요구 사항으로 인해 데이터 격리가 필요한 조직이 이 경우에 해당합니다.

서비스 소유자로부터 데이터를 격리해야 하는 경우는 다음과 같습니다.

• 금융 기관에서는 법률에 따라, 해당 관할권의 고객 데이터에 대한 액세스 권한을 해당 관할권에 있는 사용자, 컴퓨터 및 관리자로 제한해야 합니다. 이 기관에서 보호 관할권 외부 작업장의 서비스 관리자를 트러스트할 수 있지만 액세스 제한을 위반할 경우 해당 관할권에서 업무를 수행할 수 없게 됩니다.
• 방위 산업 업체는 법률에 따라, 방위 프로젝트 데이터에 대한 액세스 권한을 지정된 사용자 집합으로 제한해야 합니다. 이 업체는 다른 프로젝트와 관련된 서비스 관리자를 트러스트할 수 있지만 이러한 서비스 관리자가 보안을 침해할 경우 더 이상 행정 업무를 수행할 수 없게 됩니다.

서비스 소유자로부터 데이터를 격리하기 위해 포리스트를 만들 때 고려해야 할 사항은 다음과 같습니다.

• 데이터 격리를 위해 만들어진 포리스트는 다른 포리스트의 도메인을 트러스트할 수 있지만 다음과 같은 그룹의 사용자는 배제시켜야 합니다.
• 서비스 관리를 담당하는 그룹 또는 서비스 관리자 그룹의 등록을 관리할 수 있는 그룹
• 보안 데이터가 저장된 컴퓨터에 대한 관리 제어 권한을 가지는 그룹
• 보안 데이터에 대한 액세스 권한이 있는 그룹 또는 보안 데이터에 대한 액세스 권한이 있는 사용자 또는 그룹 개체의 관리를 담당하는 그룹

다른 포리스트의 사용자가 이러한 그룹에 포함된 경우 다른 포리스트의 보안 문제가 격리된 포리스트에 영향을 미쳐 보안 데이터가 공개될 수 있습니다.

• 별도의 포리스트를 만들어 데이터를 격리할 수 있지만 네트워크에서 연결되어 있는 한, 동일 네트워크에 있는 다른 컴퓨터의 공격을 받을 수 있습니다. 공격에 따른 위험이 대단히 크다든지, 공격 또는 보안 침해의 결과가 아주 부정적이라고 판단하는 조직은 다음과 같이 하십시오.
• 도메인 컨트롤러 또는 보안 데이터를 포함하는 컴퓨터를 호스팅하는 네트워크의 신뢰도를 신중하게 고려합니다.
• 방화벽 및 IPSEC와 같은 기술을 사용하여 도메인 컨트롤러 및 보안 데이터를 호스팅하는 컴퓨터의 네트워크에 대한 액세스를 제한합니다.

시나리오 5: 서비스 비소유자로부터 데이터 자율성 및 데이터 격리를 위한 OU 위임

데이터를 OU에 배치하면 트러스트된 별도의 조직이 포리스트 및 도메인 수준의 서비스 소유권을 제어할 수 있도록 허용하면서도 데이터에 대한 자율적인 제어가 가능합니다. 즉, 특정 사용자만 볼 수 있도록 데이터에 대해 사용 권한을 부여할 수 있습니다. 그러면 같은 도메인이나 포리스트상의 OU를 제어하는 서비스 비소유자로부터 데이터를 격리할 수 있습니다.

OU를 위임해야 하는 조직 구조의 예는 다음과 같습니다.

• 회사의 각 조직은 직원의 사용자 계정을 독립적으로 생성, 수정, 삭제할 수 있는 능력을 필요로 합니다. 서비스 소유자로부터 사업부 내의 사용자 계정을 격리할 필요가 없는 경우 위임받은 OU를 사용하는 것이 안전합니다.

운영상 OU를 사용하는 경우의 예는 다음과 같습니다.

• 호스팅 회사의 경우 포리스트의 모든 서비스 소유권을 유지하면서도 회사 내 직원은 액세스할 수 없도록 제한하기 위해 고객에게 OU를 위임합니다. 그러면 고객은 본인의 디렉터리 데이터를 자율적으로 관리할 수 있으며 동일한 인프라를 공유하는 다른 고객이 이 데이터를 보지 못하게 숨길 수 있습니다.

OU 위임 시 고려해야 할 사항은 다음과 같습니다.

• OU 위임은 포리스트의 모든 서비스 소유자가 트러스트되고 모든 도메인 컨트롤러가 실제로 안전한 경우에만 적합한 방법입니다.

서비스 관리자를 위한 최선의 방법과 도메인 컨트롤러에 대한 실질적인 액세스 제한

서비스 관리자는 강력하게 트러스트되어야 하므로 Active Directory의 어떤 관리 그룹이 서비스 관리자인지, 최선의 결과를 얻기 위해서 관리 그룹이 어떤 작업 방식을 따라야 하는지를 알고 있는 것이 중요합니다.

Active Directory 서비스 관리자에 포함되는 그룹은 다음과 같습니다.

• 디렉터리 구성 설정을 변경할 권한이 있는 그룹
• 도메인 컨트롤러를 설치할 수 있는 그룹
• 도메인 컨트롤러에서 소프트웨어를 설치하거나 수정할 수 있는 그룹
• 다른 서비스 관리자 그룹의 등록을 수정할 수 있는 그룹

Windows 2000 버전에서 Active Directory 서비스 관리자 그룹은 다음과 같습니다.

• 포리스트 소유자가 제어하는 그룹
• Domain Admins(포리스트 루트 도메인)
• Enterprise Admins
• Schema Admins
• 도메인 소유자가 제어하는 그룹
• Domain Admins
• Builtin\Administrators
• Builtin\Server Operators
• Builtin\Backup Operators

서비스 관리자의 공격 또는 도메인 컨트롤러의 액세스를 통한 공격을 줄이려면 다음 방법을 따르십시오.

• 서비스 관리자 그룹의 구성원 수를 최소화합니다.
• 서비스 관리자 그룹의 등록은 다른 서비스 관리자 그룹에서만 수정할 수 있도록 합니다.
• 사용자 포리스트의 서비스 관리자와 동등하게 트러스트된 외부 포리스트의 사용자나 그룹만 포함시킵니다.
• 서비스 관리자 그룹 등록에 대한 변경 사항을 감사합니다.
• 꼭 필요한 경우에만 서비스 관리자의 계정과 암호로 로그온하고 일상적인 작업에 대해서는 다른 대체 계정을 사용합니다.
• 서비스 관리자 그룹만이 서비스 관리자가 사용하는 워크스테이션을 관리할 수 있도록 합니다.
• 도메인 컨트롤러에 대한 액세스를 서비스 관리자로 제한합니다. 보안이 보장되지 않는 시스템에는 도메인 컨트롤러를 배치하지 않도록 합니다.
• 도메인 컨트롤러 시스템 상태 백업에 대한 액세스를 서비스 관리자로 제한합니다. 보안이 보장되지 않는 시스템에는 시스템 상태 백업을 저장하지 않도록 합니다.
• 도메인 컨트롤러에서 실행되는 소프트웨어를 최소화합니다.
• 포리스트 전체의 비즈니스 복구 계획을 준비하고 실시합니다.
• 최선의 방법을 습득할 수 있도록 서비스 관리자를 교육합니다.

결론

Active Directory는 사용자 및 조직 간의 공동 작업을 가능하게 하는 인프라를 제공합니다. 관리의 위임을 디자인할 때 계획 입안자는 위임 필요성을 정확히 정의하고, 위임에 따른 보안 측면을 이해하며, 위임을 수행했을 때 디렉터리 인프라 상의 공동 작업, 자율성 및 격리 수준이 어떻게 상쇄되면서 구현될 것인가를 예측해야 합니다.

최소의 관리 비용을 들이면서 최대의 공동 작업 효율을 얻기 위해 조직에서는 모든 포리스트 및 도메인 서비스 관리 권한을 갖는 단일 IT 조직의 단일 포리스트 디자인을 구축하고 OU를 사용하여 다른 조직에 데이터 자율성 또는 격리를 위임할 수 있습니다. 참여하는 각 조직은 포리스트에 합류하기 전에 서비스 소유자를 트러스트해야 합니다.

일부 조직에서는 고유한 자율성 또는 데이터 격리를 요구하는데 이러한 자율성과 격리를 적용하는 경우 중앙 집중식으로 서비스 소유자를 트러스트하는 것은 적합하지 않습니다. 이러한 조직에서는 다중 포리스트를 구축하고 MMS(Microsoft Metadirectory Services)와 같은 추가 관리 시스템을 통해 포리스트 간의 공동 작업을 수행합니다.

MMS에 대한 자세한 내용은 http://www.Microsoft.com/windows2000/technologies/directory/MMS/ 를 참조하십시오.

부록 – 서비스 관리자의 트러스트 요구 및 도메인 컨트롤러 액세스 요구에 대한 배경

이 문서의 내용은 포리스트에 참여하는 조직이 포리스트의 모든 서비스 관리자(포리스트 소유자 및 도메인 소유자)를 트러스트하며 도메인 컨트롤러의 보안에 문제가 없다는 것을 전제로 합니다. 다음 절에서는 이러한 조건이 충족되어야 하는 이유를 설명합니다.

서비스 관리자 액세스 및 물리적 액세스의 보안 개념

Active Directory의 핵심 시스템 구성 요소는 다음과 같이 보안 기능을 구현합니다.

• Active Directory 도메인 컨트롤러로 구성된 시스템 소프트웨어 — 이 소프트웨어는 인증 프로세스를 처리하고, 사용자의 ID(인증 데이터)를 정의하는 데이터 구조를 구축 및 전송하고, 정책을 실행하며, 개체별, 특성별 권한에 따라 디렉터리 개체에 대한 액세스를 제한합니다.
• 도메인 컨트롤러에 저장된 디렉터리 데이터베이스 — Active Directory 데이터베이스는 사용자 암호, 그룹 등록 및 개체에 대한 액세스를 제어하는 액세스 제어 목록 등의 정보를 저장합니다.

공격자가 도메인 컨트롤러의 시스템 소프트웨어나 디렉터리 데이터베이스를 수정하는 경우 Active Directory의 보안 기능이 해제되거나 공격자에게 유리한 방식으로 수정될 수 있습니다. 다음 사용자가 이러한 공격자가 될 수 있습니다.

• 서비스 관리자 — 서비스 관리자는 도메인 컨트롤러의 시스템 소프트웨어를 수정할 수 있습니다. 예를 들어, 서비스 관리자는 소프트웨어 패치를 적용하고, 서비스 팩을 설치하고, 운영 체제 업그레이드를 설치하고, 디버거를 연결할 수 있으며, 이러한 모든 작업으로 시스템 소프트웨어를 변경할 수 있습니다. 이러한 합법적인 액세스를 통해 서비스 관리자는 시스템 동작에 부정적인 영향을 주는 소프트웨어를 설치할 수 있습니다.
• 도메인 컨트롤러에 대해 실질적 액세스 권한을 가지는 사용자 — 도메인 컨트롤러에 대해 실질적 액세스 권한을 가지는 사용자는 다음과 같은 방식으로 시스템을 공격할 수 있습니다.
• 도메인 컨트롤러의 시스템 소프트웨어를 호스팅하는 물리적 디스크에서 시스템 이진 파일을 수정하거나 교체하는 방식
• 오프라인으로 디렉터리 데이터베이스에 액세스하는 방식. 오프라인 상태에서 디렉터리 데이터베이스에 액세스할 수 있는 경우 ACL이 적용되지 않아 데이터를 읽을 수 있고, 데이터베이스에 저장된 암호를 해독할 수 있으며, 오프라인 데이터베이스가 시스템으로 반환되는 경우 데이터베이스를 변경하여 해당 도메인 컨트롤러 또는 다른 도메인 컨트롤러의 동작을 바꿀 수 있습니다.

이러한 공격은 다음 방식을 통해 수행될 수 있습니다.

• 도메인 컨트롤러를 다른 운영 체제로 부팅하여 물리적 디스크에 액세스합니다.
• 도메인 컨트롤러의 물리적 디스크를 제거 및 교체합니다.
• 도메인 컨트롤러 시스템 상태 백업의 복사본을 구하여 조작합니다.

참고 Active Directory의 SYSKEY 기능은 Active Directory 데이터베이스에 저장된 암호를 플로피 디스크에 저장되어 있는 시스템 키로 암호화하여 더욱 강력한 보안을 제공할 수 있습니다. 데이터베이스의 암호를 해독하려면 공격자는 시스템 키가 있는 플로피 디스크와 Active Directory 데이터베이스 모두에 물리적으로 액세스해야 합니다.

SYSKEY는 전체 데이터베이스를 암호화하지는 않는다는 것에 주의하십시오. 데이터베이스의 물리적 복사본을 구할 수 있는 공격자는 ACL이 적용되지 않는 데이터베이스의 암호화되지 않은 데이터를 읽거나 수정할 있습니다. SYSTKEY 기능에 대한 자세한 내용은 http://www.Microsoft.com/technet/prodtechnol/windows2000serv/reskit/ 사이트에서 Windows 2000 Server Resource Kit을 참조하십시오.

공격자가 시스템 소프트웨어를 수정하게 되면 보안 기능의 동작만 변경되는 것이 아닙니다. 예를 들어, 스키마 업데이트는 일반적으로 스키마 마스터 역할을 저장하고 있는 도메인 컨트롤러에서만 이루어 집니다. 공격자는 불순한 의도로 시스템 소프트웨어를 수정하여 스키마 마스터 역할 검사를 방해하고 수정된 도메인 컨트롤러의 스키마를 업데이트할 수 있습니다.

시스템 소프트웨어를 공격하고 디렉터리 데이터베이스를 수정하는 것이 어려운 일처럼 보이지만 정교한 기술을 가진 공격자는 공격용 도구를 작성하기만 하면 됩니다. 작성된 도구는 모든 관리자에게 배포될 수 있습니다.

시스템 수정에 따른 보안 문제

분산 시스템에서는 단일 시스템의 보안 문제가 여러 컴퓨터, 심지어는 전체 시스템에 영향을 줄 수 있습니다. Active Directory 포리스트는 견고하게 결합된 분산 시스템입니다. 도메인 컨트롤러의 시스템 소프트웨어를 수정하거나 도메인 컨트롤러에 대해 물리적 액세스 권한을 가지는 공격자는 이러한 견고한 시스템 결합 체제를 이용하여 포리스트의 다른 시스템으로 공격 범위를 확장할 수 있습니다. 특히, 공격자는 Active Directory의 다음 특성을 악용할 수 있습니다.

• 모든 Kerberos KDC(키 배포 센터)는 동일한 트러스트 관계로 인식한다.

사용자가 로그온하면 도메인 컨트롤러의 KDC 소프트웨어는 사용자의 ID를 설명하는 인증 데이터를 작성합니다. 이러한 인증 데이터는 사용자 및 사용자가 속하는 그룹의 SID(보안 ID)를 포함합니다. 사용자가 다른 도메인의 리소스에 액세스하면 해당 사용자의 KDC는 사용자 ID를 나타내는 인증 데이터를 해당 도메인의 KDC로 보냅니다.

SID 기록 및 유니버설 그룹과 같은 기능이 제대로 작동되려면 각 도메인의 KDC는 사용자의 홈 도메인 외부의 SID를 포함하여 사용자 인증 데이터가 유효하다는 것을 인정해야 합니다.

공격자는 이 기능을 통해 KDC 소프트웨어나 디렉터리 데이터베이스를 수정하여 사용자의 인증 데이터에 SID를 삽입할 수 있습니다. 이러한 방식으로 공격자는 수정된 도메인 컨트롤러로부터 인증을 받으며 삽입된 SID를 사용하여 해당 포리스트에 속하는 사용자인 것처럼 위장하거나 포리스트의 그룹(관리 그룹 포함) 구성원이 될 수 있습니다. 이러한 공격을 인증 데이터 위장 또는 SID 위장 공격이라고 합니다.

• 도메인 컨트롤러의 공유 스키마 및 구성 파티션에 저장되어 있는 데이터와 모든 글로벌 카탈로그 서버의 부분 도메인 파티션에 저장되어 있는 데이터의 트러스트 수준이 동일하다고 간주됩니다.

도메인 컨트롤러가 공유된 스키마 및 구성 파티션으로 변경 내용을 복제하면 모든 도메인 컨트롤러의 파티션 복사본은 모두 동일한 트러스트 관계로 인식됩니다. 도메인 컨트롤러는 포리스트의 다른 도메인 컨트롤러에서 제공하는 스키마 및 구성 파티션에 대한 복제 업데이트를 받아 들입니다. 또한 Active Directory 사용 소프트웨어를 실행하는 클라이언트 컴퓨터에서는 모든 도메인 컨트롤러의 스키마와 구성 파티션을 동일한 트러스트 수준으로 간주하며 포리스트의 모든 도메인 컨트롤러가 제공하는 이 정보에 대한 쿼리 응답을 받아 들입니다.

글로벌 카탈로그 서버로 구성된 도메인 컨트롤러는 부분 도메인 파티션에 변경 내용을 복제할 때 파티션의 완전한 복사본을 보유하는 도메인 컨트롤러 또는 포리스트의 도메인에 속하는 다른 글로벌 카탈로그 서버를 복제 파트너로 선택할 수 있습니다. 또한 Active Directory 사용 클라이언트 소프트웨어는 포리스트의 모든 글로벌 카탈로그 서버를 동일한 트러스트 수준으로 인식하고 포리스트의 모든 글로벌 카탈로그 서버로부터의 쿼리 응답을 받아 들입니다.

이러한 전제에 따라 도메인 컨트롤러는 포리스트 사이트의 토폴로지에 따라 도메인 컨트롤러 간의 복제 흐름을 최적화할 수 있습니다. 따라서 느린 네트워크 연결을 통해 동일한 데이터가 두 번 이상 복제되는 일이 없어집니다. 뿐만 아니라 클라이언트는 서버의 도메인 구성원 자격에 관계 없이 글로벌 카탈로그 서버를 쿼리하거나, 클라이언트와 동일한 사이트의 도메인 컨트롤러에서 구성 또는 스키마 컨테이너를 쿼리할 수 있습니다. 따라서 클라이언트와 동일한 사이트에 위치하지는 않지만 클라이언트와 동일한 도메인에 속하는 글로벌 카탈로그 서버 및 도메인 컨트롤러로 클라이언트가 제한되지 않습니다.

시스템 소프트웨어의 수정 작업 또는 디렉터리 데이터베이스에 대한 물리적 액세스를 통해 공격이 가능해지며, 공격자는 보안 문제가 발생한 도메인 컨트롤러의 스키마, 구성, 및 기타 파티션에 저장된 보안 관련 데이터를 수정할 수 있습니다. 이로 인해 나타날 수 있는 결과는 다음과 같습니다.

• 다운스트림 도메인 컨트롤러에서 이러한 변경 내용을 합법적인 복제 업데이트로 인식합니다.
• Active Directory 사용 클라이언트 소프트웨어에서 이러한 데이터를 합법적 데이터로 인식합니다.

이들 파티션에 저장되어 있는 보안 관련 소프트웨어는 다음과 같습니다.

• 스키마 — 개체 클래스에 대한 기본 보안 설명자. 공격자는 개체 클래스의 기본 보안 설명자를 변경하여 제어 가능한 사용자나 그룹에 액세스 권한을 부여할 수 있습니다. 이를 통해 공격자는 해당 클래스에서 새로 만들어진 개체에 대한 액세스 권한을 부여 받을 수 있습니다.
• 구성 — 사이트 기반 정책. 공격자는 사이트 기반 정책을 변경하여 공격자가 정의한 로그온 스크립트를 원격 도메인의 사용자가 실행하도록 할 수 있습니다.
• 부분 도메인 파티션 — 유니버설 그룹의 등록. 공격자는 Enterprise Admins와 같이 강력한 권한을 가진 관리 유니버설 그룹의 등록을 변경하여 공격자가 지정하는 사용자를 포함시킬 수 있습니다.

공격자가 이러한 기능을 악용하여 단일 도메인 컨트롤러를 공격하면 다음과 같은 영역에도 그 영향이 미칠 수 있습니다.

• 포리스트의 구성
• 포리스트에 있는 도메인의 구성
• 포리스트의 도메인 또는 포리스트의 구성 컨테이너에 저장되어 있는 데이터를 사용하는 응용 프로그램
• 포리스트에 연결된 컴퓨터(해당 컴퓨터에 저장된 데이터 또는 해당 컴퓨터에서 실행되는 서비스)
• 공격 받은 포리스트 내의 도메인과 트러스트된 외부 도메인의 리소스. 트러스트된 외부 도메인에 대한 엑세스 권한이 공격 받은 포리스트의 사용자에게 부여됨

이와 같은 이유로, 포리스트에 참여하는 조직은 포리스트의 서비스 관리자로부터 격리될 수 없으며 도메인 컨트롤러에 대해 물리적 액세스 권한을 가지는 모든 직원을 트러스트해야 합니다. 따라서 이러한 조직에서는 서비스 관리자를 트러스트함으로써 발생하는 공격 가능성과 도메인 컨트롤러에 대한 허가되지 않은 액세스 가능성을 완화하거나 제한하기 위한 조치를 취해야 합니다.

참고 적절한 예방 조치를 취한다면 위에서 설명하는 Active Directory의 두 가지 특징을 사용하여 다른 포리스트의 도메인 간에 공격이 발생할 수 없습니다.

• 인증 데이터에 대한 위장된 공격을 막으려면 다른 포리스트에 있는 도메인 간의 외부 트러스트 연결에 SID 필터링 기능을 사용합니다. SID 필터링에 대한 자세한 내용은 기술자료 검색사이트에서 Microsoft 기술 자료 문서 Q309172를 참조하십시오.
• 다른 포리스트의 도메인 컨트롤러 간에는 어떠한 데이터 파티션도 공유되거나 복제되지 않습니다. 원격 포리스트에 있는 외부 트러스트된 도메인의 사용자와 관리자는 포리스트의 보안 관련 데이터에 대해 쓰기 액세스 권한을 가지는 경우에만 해당 데이터를 업데이트할 수 있습니다. 외부 트러스트된 도메인의 사용자와 원격 도메인의 관리자가 사용자 포리스트의 서비스 관리자보다 신뢰도가 떨어지면 해당 사용자에게 보안 관련 데이터에 대한 액세스 권한을 부여하지 마십시오.