액티브디렉터리기술변화cfs9.tistory.com/upload_control/download.blog?fhandle=... ·...
30
Transcript of 액티브디렉터리기술변화cfs9.tistory.com/upload_control/download.blog?fhandle=... ·...
{액티브 디렉터리 기술 변화 }
김선윤 대리기업고객사업본부한국마이크로소프트
Windows Server 2008 Active Directory 개요1
Active Directory Domain Services 새로운 기능 소개2
그룹정책의 향상된 기능 소개3
AD CS, AD FS, AD RMS 개요4
계정 라이프사이클 관리계정 및 액세스 관리를 자동화합니다.
Federated
identity
Claims-based
access
Web
SSO Live
integration
Access
management
Policymanagement
Credential
management
User
provisioning
Smartcardauthentication
Full life-cyclemanagement
Securewireless
Encryptionand signing
정보 보호기밀 데이터가 어디로 이동하든
상관없이 기밀 데이터를 보호합니다.
강력한 인증사용자 이름과 암호 이상으로액세스 보앆을 강화합니다.
Federation 서비스 / 웹 SSO경계에 대한 제약 없이 조직 내에서앆젂하게 공동 작업이 가능합니다.
디렉터리 서비스사용자 및 장치를 갂편하게관리할 수 있도록 해줍니다.
Microsoft Identity and Access 솔루션은 조직에서 사용자 계정과 관련 액세스 권한을관리하는 데 도움을 주는 플랫폼 기술 및 제품의 모음입니다.
Identity & 액세스 관리와 관련된 다양한 서비스들을 Active Directory 서비스로 통합. 단일화된 아키텍처 아래 각 서비스의 연동을 강화하여 향상된 배포 및 관리성을 제공합니다.
Active Directory
Domain Services
(AD DS)
도메인 서비스기존의 Active Directory
보앆 및 유연성의 강화
1
Active
Directory
Service
Active Directory
Certificate Services
(AD CS)
인증서의 발급 및 관리
인증서 서비스 기능
엔터프라이즈 홖경을 위한 기능 강화
2
Active Directory
Federation Services
(AD FS)
조직을 넘은 다른 인증 기반과의 연동WS-Federation / Security 기반의 상호 연결성
HTTPs 기반의 Federation
3
Active Directory
Lightweight Directory
Services (AD LDS)
어플리케이션용의 LDAP 디렉터리
기존 AD AM ( Active Directory Application Mode)
통합
4
Active Directory
Rights Management
Services (AD RMS)
디지털 콘텐트 보호
Windows RMS Active Directory
조직 갂의 콘텐트 보호 구현
5
주요 기능
서비스 기반 AD DS도메인 서비스의 중지 및 재시작 가능
오프라인 조각 모음이나 정식 복원과 같은오프라인 작업을 수행의 갂소화
읽기 젂용 도메인 컨트롤러
(RODC)
도메인 데이터베이스의 읽기 젂용복제본을 호스팅 하는 도메인 컨트롤러
분산 지점에 앆젂하게 DC 배치 가능
세분화된 암호 및
계정 잠금 정책
단일 도메인 내에서 다양한 사용자그룹에 서로 다른 암호 제한 및 계정 잠금정책을 적용
디렉터리 서비스 감사디렉터리 서비스 변경에 대한 감사 정책하위 범주를 통해 보다 세밀한 감사 기능제공
Database Mounting
Tool
AD DS 스냅샷의 개체에 대한 정보를표시하여 실수로 삭제된 개체를 파악하는데 도와 줌
기능 개요
보앆의 강화
Branch Office
관리성 향상
Domain Controller 배포의 과제Branch Office 홖경의 과제
중앙 인증 (Branch Office에 DC 배치 안 함)
WAN이 가용한 상황에서도인증 프로세스가 지연될 수있음.
WAN이 Down 된 경우, 인증프로세스가 불가능
Branch Office에 DC 를 배치한경우
Branch DC 관리를 위한 비용의증가
물리적인 보앆을 보장하기어렵고, 젂문적인 IT 관리자의부재
RODC
Hub SiteBranch Office
관리적인 과제 : 젂문적인 IT 관리자의 부재
보안적인 과제 : 물리적인 보앆을 보장하기 어려움
네트워크의 제한 : 네트워크 대역폭의 한계
주요 기능 및 장점읽기 젂용 도메인 컨트롤러 (RODC) 개요
주요 기능
읽기 젂용 디렉터리 저장소
단 방향 복제
규칙을 통해 허용된 사용자자격 증명만 RODC에 저장 가능
관리자 역할의 분리
읽기 젂용 DNS
장점
보안 위험의 감소 : 물리적인보앆을 보장할 수 없는 지점 또는DMZ에도 DC를 배치 가능
관리 비용의 감소 : 복제에 대한설계 및 관리 작업의 경감
사용자 생산성 향상 : 분산 지점의사용자의 도메인 로그온 시갂의 단축
RODC
RODC를 사용하면 도메인 데이터베이스의 읽기 젂용 복제본을 호스팅 하는 도메인컨트롤러를 쉽게 배포 할 수 있습니다.
HQ
데이터 센터
Full DC
(쓰기 가능)
RODC
RODC
RODC
RODC
RODC규칙을 통한자격 증명 캐시
단 방향 복제
읽기 젂용디렉터리읽기 젂용 DNS
관리자 역할의분리
읽기 젂용
디렉터리 저장소
읽기 젂용 Active Directory 데이터베이스 저장을 통해서 변경
사항이 젂체 도메인에 영향을 주기 않음 (패스워드 저장 X )
쓰기 요청은 가까운 도메인 컨트롤러를 참조
단 방향 복제
RODC는 Inbound 복제만 수행 (쓰기 가능한 DC -> RODC)
Filtered Attribute Set 정의를 통해 기밀성의 높은 속성에 대한
복제 필터링 가능
관리자 역할 분리
도메인 관리 권한을 부여 하지 않고, 일반 사용자에게 RODC 의
관리 권한을 위임
서버에 대한 로컬 관리자 권한 / 도메인에 대해서는 사용자 권한
읽기 젂용 DNS
RODC 에 DNS 서버 구성 가능 : 클라이언트는 RODC 에 조회해
Name Resolution을 실행
Active Directory 통합 영역에 대한 동적 업데이트는 수행 앆 함
주요 기능RODC 암호 복제 개요
복제 대상 사용자를 관리자가정의
암호 복제 정책을 통해명시적으로 정의
최초의 로그온 시에 복제(사용자 단위)
암호 변경 후 최초의 로그온시에 변경 사항 복제
암호 복제 정책으로 복제 규칙정의
복제 허용 리스트
복제 거부 리스트
해당 History를 보관 유지
복제된 암호는 일괄 Reset 가능
RODC
관리자는 사용자 자격 증명을 저장(캐시)하도록 RODC를 구성할 수 있습니다.
RODC 동작
RODC 동작 방식
Read Only
DC
Windows
Server 2008
DC
1
24
5
6
3
6
본사 지사
사용자 로그온 및인증
RODC DB 검색요청 젂달
요청에 대한인증
인증 응답및 TGT를RODC로Return
Credential 정보 캐시
RODC 는사용자에게 TGT
발급
① 사용자 로그온 및 인증 요청② RODC : DB 검색 -> 해당 사용자에 대한 자격 증명을
갖고 있지 않음③ 요청을 “쓰기 가능한 Windows Server 2008 DC” 로
젂달④ Windows Server 2008 DC가 요청에 대해 인증
⑤ 인증 응답 및 TGT를 RODC에게 Return
⑥ RODC는 사용자에게 TGT를 발급하고, 해당 사용자의자격 증명 캐시 설정이 되어 있을 경우, 자격 증명을RODC에 캐시
사용자가 RODC에 처음 인증 시, 쓰기 가능한 DC로 요청을 젂달하여 인증에 성공할 경우암호 복제 정책에서 자격 증명을 복제 허용 여부 판단을 통해 자격 증명을 캐시 합니다.
{ Read Only Domain Controller }
주요 기능Fine-Grained Password Policy 개요
도메인 내에서 다수의 암호정책을 정의 가능
적용 가능 단위
사용자 오브젝트 (또는inetOrgPerson)
글로벌 보앆 그룹
Password Setting 오브젝트
암호 설정에 대한 속성
계정 잠금 설정에 대한 속성
설정 방법
ADSI Edit / Ldifde
Windows Server 2008 도메인모드 필요
세분화된 암호 정책을 사용하면 여러 암호 정책을 지정하고 단일 도메인 내에서 다양한사용자 그룹에 서로 다른 암호 제한 및 계정 잠금 정책을 적용 가능합니다.
msDS-
PSOAppliesTo
msDS-
PSOApplied
PSO Container
Object
System Container
Object
PSO
Object
Attributes:
msDS-PasswordSettingsPrecedence
msDS-PasswordReversibleEncryptionEnabled
msDS-PasswordHistoryLength
msDS-PasswordComplexityEnabled
msDS-MinimumPasswordLength
msDS-MinimumPasswordAge
msDS-MaximumPasswordAge
msDS-LockoutThreshold
msDS-LockoutObservationWindow
msDS-LockoutDuration
주요 기능디렉터리 서비스 감사 정책 개요
자세한 수준의 로깅을 통해갂편하게 디렉터리 서비스 변경관리를 추적 가능
이벤트 로그에 다음 항목이 저장 :
Who made a change
When the change was made
What object/attribute was
changed
The beginning and end values
감사는 다음에 의해 이루어짐 :
글로벌 감사 정책
SACL
Schema
새로운 디렉터리 서비스 변경 감사 정책 하위 범주를 통해 보다 세밀한 감사 가능. 디렉터리서비스 개체나 속성 변경 사항의 기존 값과 새로운 값을 로깅 합니다.
변경 이젂의 값
변경된 값
주요 기능서비스 기반 AD DS 개요
도메인 서비스를 서비스로 제공
다른 서비스와 같이, 갂단하게중지·다시 시작 가능
종속적인 서비스는 자동적으로도메인 서비스 다시 시작 시에 실행
도메인 서비스의 오프 라인작업에 대한 갂소화
서버 재 시작으로 인한 다운타임젃감
중지 상태에서는 멤버 서버로동작하여 다른 서비스는 지속적으로제공 가능
DC의 상태
Active Directory DS “시작됨”
Active Directory DS “중지”
디렉터리 서비스 복원 모드
AD DS는 Windows Server 2008의 서비스 기반으로 이제 MMC 스냅인 또는 명령줄을 통해중지하거나 시작 가능합니다.
주요 기능Database Mounting Tool 개요
온라인으로 Active Directory의snapshot 데이터 참조 가능
스냅숏은 도메인 컨트롤러의디렉터리 서비스 복원 모드에서시작하지 않아도 볼 수 있음
삭제된 데이터의 참조(삭제된 오브젝트를 해당 툴에서실제로 복원은 할 수는 없음)
다양한 스냅숏 시점의 데이터를비교해, 복구 계획을 싞속히 할 수있음
AD DS 스냅숏의 개체에 대한 정보를 표시하여 실수로 삭제된 개체를 확인하는데 도움을 줌.
Ntdsutil.exe
실행 (작업스케줄러사용 가능)VSS에스냅숏
DS 스냅숏
Snapshot의볼륨을LDAP
서버로Publishing
Dsamain.exe
(Database
Mining Tool) 실행
스냅숏을LDAP 서버로
Publishing
Ldp.exe 를실행LDAP
포트에액세스 하여표시
데이터의참조
(읽기젂용)
주요 기능도메인 컨트롤러 설치 마법사 개요
DCPROMO 마법사 향상
고급 모드 설치(/adv switch)을통한 상세한 설치 옵션 사용가능• 소스 도메인 컨트롤러 선택• 대상 사이트 선택• DNS 자동 설치• 선택적인 글로벌 카탈로그 설치• 설치 완료 시 자동 Reboot
• GPMC 자동 설치• 미디어를 통한 설치 (IFM)
AD DS 설치 마법사 액세스
서버 관리자 의 서버 역할추가를 통해 AD DS를 설치하고구성하기 위해 필요한 파일설치
AD DS 설치를 위해서는dcpromo.exe 실행 필요
Windows Server 2008에서는 다음과 같은 향상된 도메인 컨트롤러 설치 기능을 제공합니다.
{ 세분화된 암호 정책,디렉터리 서비스 감사 정책 }
그룹정책 도구향상된 GPOE & GPMC
그룹정책 서비스별도의 그룹정책 서비스 실행서비스 안정성 강화
그룹정책 템플릿ADM 템플릿이ADMX 파일로 변경(ADMX, ADML)
Network Location
Awareness(NLA)NLA 서비스는 최싞 네트워크 정보 제공네트워크 변경 인식을 통한 App의 쿼리또는 등록
Group Policy LoggingAdministrative log
어플리케이션 및 서비스 로그XML기반의 이벤트 로그새로운 도구 - GPOLogView
그룹정책 중앙 저장ADMX에 대한 중앙 저장소모든 ADMX 템플릿 포함각 도메인의 DC Sysbol에 생성
그룹정책의향상
다수의 로컬 GPOs
그룹정책 설정700개 이상의 새로운 정책추가Windows Vista의 새로운기능 의 확장
NLA
Windows
Vista/Windows Server
2008
ADM ADMX
LGPO’s
LGPO
Admin
UserUser Specified Group Policy
Admin/Non-Admin Group Policy
Local Computer Policy
DC
FRS/DFS-R
SysVol
ADMX
ADML
+ Policies
+
+
GUID
ADMPolicy
Definations
ADMX, ADML Files
+
주요 기능GPMC 기능의 확장
그룹 정책 검색 / 필터 옵션
그룹 정책의 설정 항목, 설명, 키워드 등의 필터
지원 플랫폼 및 어플리케이션
관리 및 구성 상태
그룹 정책 개체 및 항목에 대한주석의 확장
Starter GPO
그룹정책 설정 시 기반이 되는그룹 정책 개체
권장하는 정책 설정 및 값을포함
Starter GPO를 기반으로 새로운GPO를 생성하고 설정
주요 기능AGPM 개요
Microsoft Desktop Optimization
Pack의 구성 요소
GPMC (그룹정책 관리 콘솔)의MMC 확장 형태로 제공
그룹 정책 인프라스트럭처의 변경관리
역할 기반의 위임 (edit only ,
create, delete and approval)
오프라인 편집
GPO의 체크-인/체크-아웃 기능
GPO 업데이트 히스토리 관리
배포 프로세스
Roll-back and Roll-forward
Advanced Group Policy management (AGPM)는 GPMC(그룹정책 관리 콘솔)에 통합되어그룹 정책에 대한 향상된 변경 관리 기능을 제공합니다.
역할 기반의 위임
AGPM을 통한 GPO 삭제
템플릿을 이용한GPO 생성
주요 기능그룹정책 기본 설정 예제
그룹 정책의 새로운 확장
제어판 / Windows 설정
새로운 설정에 대한 새로운 기능
풍부한 UI 기반의 설정을 통한쉬운 적용 및 관리
항목 수준 대상 (Targeting) 가능
Targeting을 위한 UI 기반의필터링
“ 한 번만 적용하고 다시 적용앆 함” 등의 유연한 적용 옵션
기존의 스크립트를 통한 관리부담 경감
CSE(Client Side Extensions)
설치 필요 (단, Windows Server
2008은 기본 포함)
그룹 정책 기본 설정 (Group Policy preferences)은 기존 그룹 정책에 대한 확장으로, 20개이상의 구성 가능한 기본 설정을 제공함. (PolicyMaker 기능을 Windows Server 2008에 포함)
바로가기
Windows 설정
드라이브 매핑 폴더 레지스트리
제어판 설정
폴더 옵션로컬 사용자 및
그룹예약된 작업
그룹 정책 기본 설정 그룹 정책
강제 적용 기본 설정은 강제 반영이 앆 됨 UI 사용 금지 불가능 다시 고침이나 한번만 적용 가능
설정은 강제 반영됨 UI 사용 금지 가능 설정 다시 고침 가능
유연성
레지스트리 설정, 파일 등에 대해 손쉬운생성 설정 아이템
로컬 혹은 원격 컴퓨터로부터 개별 레지스트리 설정이나 젂체 레지스트리에 대해 가져오기 가능
정책 설정 추가는 응용 프로그램의 지원이 필요하며, 관리 템플릿 생성 필요
파일, 폴더 등에 대한 정책 설정 생성 불가능
로컬 정책 로컬 그룹 정책에서 사용 불가능 로컬 그룹 정책에서 사용 가능
사용 범위 그룹 정책 사용 불가능 응용 프로그램
지원 그룹 정책 사용 가능 응용 프로그램 필요
저장소 원본 설정을 덮어 씌움 설정 아이템을 삭제하더라도, 원본 설정
이 복구되지 않음
원본 설정은 변경되지 않음 레지스트리내 Policy 레벨에 저장 정책 설정 삭제시, 원본 설정 복구
대상 및 필터링
각각의 대상 아이템별로 사용자 인터페이스를 통한 세분화된 대상 설정
개별 설정 아이템 레벨별로 대상 설정지원
필터링은 WMI(Windows Management Instrume
ntation) 쿼리 작성을 통한 WMI에 기반 GPO 레벨에서 필터링 지원
UI 대부분의 설정을 하기 위한 칚숙하고, 손
쉬운 인터페이스 제공 대부분의 정책 설정을 위해 추가적인 사용자
인터페이스 제공
{ 그룹정책 기본 설정 }
주요 기능Active Directory Certificate Services
관리성의 향상
PKI View - 인증 기관 (CA)의통합 관리 기능
인증서 관련 새로운 그룹 정책제공
최싞 표준의 지원CNG - 차세대의 암호화 API
Network Device Enrollment
Service (NDES)
Online Certificate Status
Protocol (OCSP)
유연한 인증서의 발행인증서의 Web 발급 기능을강화
Windows Server 2008의 인증서 서비스의 근본적인 향상점은 조직의 보앆, 관리성, 그리고상호 운영성에 중점을 두고 있습니다.
AD CS(CA 서버)AD DS
(도메인 컨트롤러)
사용자 관리자
OCSP
NDES
CNG
PKI View
새로운그룹 정책
인증서Web 발급
주요 기능Active Directory Federation Services
다수의 조직에 Federation 서버를
배포하여 비즈니스 (B2B) 갂의
트랜잭션을 용이 하게함
AD FS 는 웹 기반의 SSO
솔루션을 제공 – 인증은 Account
측에서 수행
AD FS 는 Web Service (WS-*)를
지원하는 다른 보안 제품과의
상호 운영을 제공
MOSS 2007 및 AD RMS 지원
ADFS를 통해 인터넷 기반 응용 프로그램을 확장하여 고객, 파트너 등이 조직의 웹 기반응용 프로그램에 액세스할 때 일관성이 있으며 효율적인 웹 SSO를 사용할 수 있게 합니다.
웹 서버
계정Federation
Server
리소스Federation
Server
기업 A 기업 B
Federation
트러스트
사용자
주요 기능AD Rights Management Services
AD RMS 는 조직의 디지털 파일에대한 액세스 보호를 제공
읽기, 변경 권한 제한
프린트, 만료 날짜 등의 추가권한
메일 (Outlook) 젂달의 제한
향상된 설치 및 관리 홖경
AD RMS 클러스터의 Self 등록
AD Federation Services와의통합
새로운 AD RMS 서버 역할로 제공
Active Directory Rights Management Services 는 디지털 정보가 무단으로 사용되지 않도록보호하기 위해 RMS 지원 응용 프로그램에서 사용되는 정보 보호 기술입니다.
정보 생성자 정보 수싞자
Windows Server 2008 홈http://www.microsoft.com/korea/windowsserver2008/default.mspx (KO)
http://www.microsoft.com/windowsserver2008/default.mspx (EN)
Windows Server 2008 TechCenterhttp://technet.microsoft.com/en-us/windowsserver/2008/default.aspx
이벤트 및 웹 캐스트http://www.microsoft.com/events/series/windowsserver2008.aspx
Windows Server 2008 TechNet 포럼http://forums.microsoft.com/TechNet/default.aspx?ForumGroupID=161
&SiteID=17
Windows Server 2008 개발자 센터http://msdn2.microsoft.com/en-us/windowsserver/default.aspx
2008 RTM
2008
2008 R2
“Cougar”
