Active Directory의 새로운 기능
Active Directory 서비스는 전체 인프라를 대상으로 단일 로그온 기능과 중앙 리포지토리를 제공하여 사용자 및 컴퓨터 관리를 크게 단순화하고 네트워크 리소스에 대한 탁월한 액세스를 제공합니다. 이 문서에서는 Windows Server 2003에서 Active Directory가 갖는 이점과 새로운 기능 및 향상된 기능에 대해 간략적으로 설명합니다.
|
이 페이지에서
 | 이점 |
| Windows Server 2003 R2의 새로운 기능 |
| 새로운 기능 및 향상된 기능 |
이점
Active Directory의 향상된 기능은 중/대규모 기업에 중요한 전략적 이점을 제공하여 관리자와 사용자의 생산성을 높여줍니다. Windows 2000을 토대로 하여 발전된 Windows Server 2003은 Active Directory의 다기능성, 관리 효율성, 신뢰성을 개선했습니다. 조직에서는 기업의 다양한 요소들을 공유하고 관리하는 데 대한 효율성을 높이는 한편 비용은 더욱 큰 폭으로 절감하는 효과를 얻을 수 있습니다.
| 이점 | 설명 |
뛰어난 유연성 | Active Directory는 새롭고 중요한 기능을 도입하여 오늘날 시장에서 가장 유연한 디렉터리 구조 중 하나입니다. 디렉터리 기능의 응용 프로그램이 갈수록 더욱 확산되기 때문에 조직에서는 Active Directory의 기능을 활용하여 매우 복잡한 엔터프라이즈 네트워크 환경을 관리할 수 있습니다. 인터넷 데이터 센터에서 널리 분산된 지사들로 구성된 기업에 이르기까지 Windows Server 2003이 제공하는 향상된 기능은 관리의 단순화하고 성능 및 효율성을 증대시켜 매우 다재다능한 솔루션이 되었습니다. |
절감된 총 소유 비용(TCO) | Active Directory는 기업의 총 소유 비용(TCO)과 운영 비용을 절감할 수 있도록 개선되었습니다. 모든 수준의 제품에 다기능성을 확대하고 관리를 단순화하고 신뢰성을 높일 수 있는 새로운 기능과 향상된 기능이 제공되었습니다. |
Windows Server 2003 R2의 새로운 기능
Windows Server 2003 R2에서 Active Directory는 유연한 추가 배포 옵션을 제공하고 UNIX 환경에 대한 상호 운용성을 지원하며 엑스트라넷 응용 프로그램 배포, 도메인 간 ID 연합 및 분산 응용 프로그램 디렉터리 배포 기능을 지원합니다.
| 이점 | 설명 |
Active Directory Federation Services (ADFS) | ADFS는 Windows Server 환경을 위한 웹 기반 엑스트라넷 인증/권한 부여, SSO(single sign-on) 및 연합 ID 서비스를 제공하며 B2C 엑스트라넷, 회사 간(다중 포리스트) 연합 및 B2B 인터넷 연합과 관련된 시나리오에서 기존 Active Directory 배포의 가치를 향상시켜 줍니다. |
Active Directory Application Mode (ADAM) | 이전에 웹 다운로드로 제공되던 ADAM(Active Directory Application Mode)이 현재는 Windows Server 미디어에 포함되었습니다. 인프라 기능이 없는 Active Directory의 독립 모드인 ADAM은 응용 프로그램에 디렉터리 서비스를 제공합니다. 독립 실행형 데이터 저장소로 작동하거나 Active Directory 도메인 컨트롤러와 상호 작용하는 ADAM의 유연성을 통해 관리자는 로컬 제어/자동화 또는 공유 서비스 수준에 맞게 자신의 디렉터리 서비스 인프라를 세부적으로 조정할 수 있습니다. |
UNIX ID 관리 | UNIX 통합 기능으로 AD 도메인 컨트롤러에서 마스터 NIS 서버 역할을 수행하고 UNIX 및 Windows 환경에서 사용자 암호를 동기화함으로써 운영 체제 간의 중단 없는 사용자 액세스 및 효율적인 네트워크 리소스 관리 환경을 구성할 수 있습니다. |
새로운 기능 및 향상된 기능
Windows Server 2003에서는 Active Directory가 크게 향상되어 더욱 기능이 풍부해 지고, 신뢰성이 높아졌으며, 경제성이 향상되었습니다. 특히 Windows Server 2003에서의 Active Directory는 다음과 같은 새로운 기능과 향상된 기능을 제공합니다.
| • | 더 쉬워진 배포 및 관리 |
| • | 강화된 보안 |
| • | 향상된 성능 및 신뢰성 |
더 쉬워진 배포 및 관리
Windows Server 2003은 여러 포리스트, 도메인 및 사이트가 있는 매우 규모가 큰 기업에서도 관리자가 Active Directory를 효율적으로 구성 및 관리할 수 있도록 했습니다. Active Directory 도메인 이름 변경 기능과 함께 향상된 마이그레이션 및 관리 도구는 Active Directory 배포를 Windows 2000 Server에서 처음 소개되었을 때보다 훨씬 더 쉽게 해 줍니다. 더 향상된 도구들은 끌어서 놓기 기능, 여러 개체 선택, 쿼리 저장 및 재사용 기능을 제공합니다. 또한 그룹 정책의 향상된 기능은 Active Directory 환경에서 사용자 및 컴퓨터 그룹을 더 효율적으로 쉽게 관리할 수 있게 해줍니다.
| 이점 | 설명 |
ADMT 버전 2.0 | ADMT(Active Directory 마이그레이션 도구)에 이루어진 수 많은 개선으로 인해 Active Directory로의 마이그레이션이 더 쉬워졌습니다. ADMT 2.0에서는 이제 Microsoft Windows NT 4.0 도메인에서 Windows 2000 및 Windows Server 2003 도메인으로 또는 Windows 2000 도메인에서 Windows Server 2003 도메인으로 암호를 마이그레이션할 수 있습니다. |
도메인 이름 바꾸기 | 이 기능은 포리스트의 구성을 올바르게 유지하면서 포리스트에서 기존 도메인의 DNS(도메인 이름 시스템) 및 NetBIOS 이름을 변경할 수 있도록 지원합니다. 관리자들은 Active Directory 배포 후 그 구조를 변경하는 작업을 더 유연하게 처리할 수 있게 되었습니다. 디자인 결정을 되돌릴 수 있게 된 것은 합병 또는 대대적인 구조 조정과 관련된 조직에 많은 도움이 됩니다. |
스키마 재정의 | Active Directory의 유연성은 Active Directory 스키마의 특성 및 클래스 정의를 비활성화할 수 있도록 향상되었습니다. 원래의 정의에 오류가 있는 경우에는 특성과 클래스를 재정의할 수 있습니다. |
향상된 그룹 정책 기능 | Windows Server 2003과 함께, Microsoft는 그룹 정책 관리를 통합한 새로운 그룹 정책 관리 솔루션을 출시했습니다. Microsoft 그룹 정책 관리 콘솔(GPMC)은 그룹 정책과 관련된 모든 작업을 솔루션 하나로 관리할 수 있게 해줍니다. GPMC를 이용하면 관리자는 제공된 포리스트 안에 있는 여러 도메인 및 사이트의 그룹 정책을 끌어서 놓기 기능 지원으로 단순화된 사용자 인터페이스(UI)를 통해 모두 관리할 수 있습니다. 가장 두드러지는 새로운 기능은 그룹 정책 개체(GPO)를 백업, 복원, 가져오기, 복사 및 보고할 수 있는 기능입니다. 이 작업들은 완전한 스크립트가 가능하여 관리자가 관리 작업을 사용자 지정 및 자동화할 수 있습니다. 이러한 장점들은 그룹 정책 사용을 훨씬 용이하게 해주며 기업을 더욱 비용 효율적으로 관리하도록 도와줍니다. |
향상된 UI | 엔터프라이즈 ID, 개체 및 관계를 관리하는 데 주로 사용되는 향상된 인터페이스는 관리 효율성과 통합 능력을 높여줍니다. 현재 Microsoft 관리 콘솔(MMC) 플러그인에는 끌어서 놓기 기능과 여러 개체 선택, 쿼리 저장 및 재사용 기능이 포함되어 있습니다. 이제 관리자는 여러 사용자 개체를 동시에 편집하고 액세스 제어 목록(ACL) 사용 권한을 기본값으로 재설정하고 보안 원칙에 대한 실제 사용 권한을 표시하며 사용 권한을 상속해준 부모를 나타낼 수 있습니다. |
강화된 보안
보안 기능의 확대로 여러 포리스트와 교차 도메인 트러스트 관리가 더 쉬워졌습니다. 교차 포리스트 트러스트는 두 포리스트 사이의 보안 관계 관리를 위한 새로운 유형의 Windows 트러스트로서 교차 포리스트 보안 관리 및 인증을 크게 단순화합니다. 사용자는 한 번만 하면 되는 사용자 인증 기능과 홈 포리스트에서 사용자 ID와 암호를 단 한 쌍만 유지하면 되는 관리상의 이점은 그대로 두면서 다른 포리스트의 리소스를 안전하게 액세스할 수 있습니다. 이것은 Active Directory의 이점을 유지하면서도 고유의 포리스트를 갖고자 하는 일부 부서 또는 지역의 요구를 해결할 수 있는 유연성을 제공합니다. 또한 새로운 자격 증명 관리자가 사용자 자격 증명 및 X.509 인증서를 안전하게 보관해줍니다. 소프트웨어 제한 정책은 관리자가 원치 않는 프로그램이 네트워크 전체에 있는 컴퓨터에서 설치되는 것을 방지할 수 있도록 해줍니다.
| 이점 | 설명 |
교차 포리스트 인증 | 교차 포리스트 인증은 사용자 계정과 컴퓨터 계정이 각각 다른 포리스트에 있을 때 리소스에 안전하게 액세스할 수 있게 해줍니다. 이 기능을 통해 사용자는 한 번만 하면 되는 사용자 인증 기능과 홈 포리스트에서 사용자 ID와 암호를 단 한 쌍만 유지하면 되는 이점은 그대로 두면서 Kerberos 또는 NTLM을 사용하여 다른 포리스트의 리소스를 안전하게 액세스할 수 있습니다. |
교차 포리스트 권한 부여 | 교차 포리스트 권한 부여는 관리자들이 트러스트된 포리스트에서 사용자 및 그룹을 선택하여 로컬 그룹 또는 ACL에 쉽게 포함시킬 수 있게 해줍니다. 이 기능은 포리스트 보안 경계의 무결성을 유지하는 한편 포리스트 사이에 트러스트를 맺을 수 있게 해줍니다. 이 기능을 통해 트러스팅 포리스트는 트러스트되는 포리스트에서 사용자가 보호된 리소스에 액세스하려 할 때 어떤 보안 식별자(SID)를 승인할 것이지에 대해 제약 조건을 적용할 수 있도록 합니다. |
향상된 교차 인증 | Windows Server 2003의 클라이언트 교차 인증 기능이 향상되어 부서 수준 및 전체 수준 교차 인증이 가능해졌습니다. 예를 들어 WinLogon은 이제 교차 인증서를 요청하여 이를 '엔터프라이즈 트러스트/엔터프라이즈 저장소'로 다운로드할 수 있습니다. 체인 관계가 형성되면 모든 교차 인증서가 다운로드됩니다. |
IAS 및 교차 포리스트 인증 | Active Directory 포리스트가 양방향 트러스트가 있는 교차 포리스트 모드에 있다면 IAS/RADIUS(인터넷 인증 서비스/원격 인증 전화 접속 사용자 서비스)는 이 기능을 통해 다른 포리스트에 있는 사용자 계정을 인증할 수 있습니다. 이를 통해 관리자는 포리스트에 이미 존재하는 IAS/RADIUS 서비스와 새로운 포리스트를 쉽게 통합할 수 있습니다. |
자격 증명 관리자 | 자격 증명 관리자는 암호 및 X.509 인증서 등의 사용자 자격 증명을 보관하는 안전한 저장소를 제공합니다. 따라서 로밍 사용자 등의 사용자 인증은 한 번만 수행하면 됩니다. 예를 들어 사용자가 회사 네트워크에 있는 업무용 응용 프로그램에 액세스하려 하는 경우 처음 액세스할 때는 인증이 필요하므로 자격 증명을 제공하라는 메시지가 사용자에게 표시됩니다. 이때 사용자가 제공한 자격 증명은 사용자가 요청한 응용 프로그램에 연결됩니다. 나중에 이 응용 프로그램에 액세스하면 사용자에게 메시지를 표시하지 않고 저장된 자격 증명이 재사용됩니다. |
소프트웨어 제한 정책 | 소프트웨어 제한 정책은 알 수 없거나 신뢰할 수 없는 소프트웨어를 규제합니다. 소프트웨어 제한 정책을 사용하면 실행이 허용되는 소프트웨어를 확인 및 지정하여 신뢰할 수 없는 소프트웨어로부터 컴퓨팅 환경을 보호할 수 있습니다. 무제한 허용 또는 허용되지 않음 등으로 GPO에 대한 기본 보안 수준을 정의하여 소프트웨어 실행을 기본적으로 허용 또는 허용하지 않을 수 있습니다. 특정 소프트웨어에 대한 규칙을 만들어 이 기본 보안 수준의 예외를 지정할 수 있습니다. |
향상된 성능 및 신뢰성
Windows Server 2003은 Active Directory 정보의 복제 및 동기화를 더 효율적으로 관리합니다. 관리자는 도메인 컨트롤러 사이에 복제 및 동기화되는 정보의 유형을 한 도메인 뿐만 아니라 여러 도메인에서 전보다 더 잘 제어할 수 있습니다. 또한 Active Directory는 변경된 정보만 지능적으로 선택해서 복제하는 여러 기능들을 제공하므로 더 이상 디렉터리 전체를 업데이트할 필요가 없습니다.
| 이점 | 설명 |
더욱 간편해진 원격 지점 로그온 | 도메인 컨트롤러가 있는 지점에서는 글로벌 카탈로그를 먼저 확인할 필요 없이 캐시된 자격 증명을 통해 사용자 로그온을 제공할 수 있으므로 불안정한 광역 네트워크(WAN)에서의 시스템 성능과 견고성이 개선됩니다. 지점과 글로벌 카탈로그 사이의 연결이 끊어져도 지점 사용자의 로그온에는 더이상 영향을 미치지 않습니다. 지점을 보다 효과적으로 지원할 수 있으며 WAN 링크의 대역폭 소비도 줄어듭니다. |
향상된 그룹 구성원 자격 복제 | 그룹 구성원을 추가, 변경 또는 삭제하면 그 사항만 복제되므로 네트워크 대역폭 부담 및 프로세서 사용량이 줄어듭니다. 따라서 동시 업데이트 과정에서 업데이트가 손상될 가능성이 없어집니다. |
응용 프로그램 디렉터리 분할 | 일부 디렉터리 정보는 전체적으로 사용할 수 있게 할 필요가 없습니다. 이 기능은 복제 범위 및 복제본 위치를 통제할 수 있게 함으로써 네트워크 성능에 큰 영향을 주지 않고 Active Directory 데이터를 호스팅할 수 있게 합니다. |
미디어에서 복제 설치 | 네트워크를 통해 전체 Active Directory 데이터베이스의 복사본을 복제하는 대신, 관리자는 기존의 도메인 컨트롤러 또는 글로벌 카탈로그 서버를 백업할 때 만들어 놓은 파일에서 초기 복제를 가져올 수 있습니다. |
향상된 신뢰성 | Active Directory에는 관리자가 도메인 컨트롤러 사이의 복제를 확인하는 데 사용할 수 있는 상태 모니터링, 향상된 글로벌 카탈로그 복제 기능, 그리고 Windows 2000보다 훨씬 많은 사이트로 포리스트를 지원하여 확장성을 높이는 ISTG(사이트 간 토폴로지 생성자)의 업데이트 등 신뢰성을 높여주는 여러 새로운 기능들이 들어 있습니다. |