13-4-1. AD관리-개체생성하기

Active Directory Database에 저장할 수 있는 하나하나의 단위를 가리켜서 Object(개체)라고 부른다. 종류로는 컴퓨터, 연락처, 그룹, 조직단위, 프린터, 사용자, 공유폴더 등이 있다. Active Directory를 설치한 후 생성되는 관리도구의 ‘Active Directory 사용자 및 컴퓨터’를 통해서 접근한다.

<그림13-50. Active Directory에 Object 생성하기>

 

<그림13-50>에서 볼 수 있듯이 ‘새로 만들기’라는 메뉴를 통해서 Active Directory에 생성할 수 있는 개체들은 9가지가 있다. 각각이 무엇인지를 간단하게 정리를 해 보자.

 

①    사용자 (User Account) : 네트워크상에서 자원을 관리하기 위해 컴퓨터를 사용하는 사람에 해당하는 계정이다. 기본적으로 ‘사용자’는 네트워크 활동을 하는 사람이 이를 테면 회사의 직원인지 아닌지 등을 판단하는 근거가 되며 그 ‘사용자’의 진위여부를 가리기 위해 ‘암호’라는 기본보안조치를 취해 놓게 된다. 그런 이유로 우리가 네트워크 상에서 다른 서버에 접근하고자 할 때는 사용자이름과 암호가 필요한 것이다.

 

②    컴퓨터 (Computer Account) : Windows 9x 컴퓨터들과는 달리 NT기반의 컴퓨터들은 ‘컴퓨터 계정’이라는 것을 가진다. 사용자와 구분하여 컴퓨터를 네트워크에서 하나의 자원으로 관리하기 위한 방법이다. 도메인 환경에서 NT기반의 시스템들을 도메인에 참여시켜 사용(멤버서버)하기 위해서는 반드시 도메인의 Active Directory에 컴퓨터 계정을 가져야 한다.

 

③    그룹 (Group Account) : 사용자들을 효율적으로 조직하여 자원관리를 용이하게 하기 위해 사용된다. 글로벌 그룹, 도메인 로컬 그룹, 유니버설 그룹이 있다.

 

④    프린터 : 공유된 프린터를 Active Directory의 목록에 포함시킴으로써 사용자들이 프린터 자원에 보다 쉽게 접근하도록 제공한다.

 

⑤    연락처 (Contact) : 사용자계정과 구분해야 한다. 연락처는 사용자의 E-mail 주소를 저장할 목적으로 사용된다. Exchange Server 2000 버전은 이전의 5.5 버전과는 달리 별도로 디렉터리 데이터베이스를 유지하지 않는다. 완전하게 Active Directory와 통합이 되었는데, 회사에서 계정을 가진 사용자와 구분하여 도메인의 계정은 할당하지 않고 메일주소록에만 리스트 시킬 수 있는 형태의 ‘연락처’를 제공하고 있는 것이다. 이 연락처로써 계정이 생성되면 그 계정으로는 도메인에서 로그온을 한다거나 자원에 대한 권한을 가질 수는 없고 ‘아웃룩’에서 주소록으로 확인할 수 있을 뿐이다.

<그림13-51. 사용자와 연락처의 비교>

 

<그림13-51>을 보면 ‘wssong’이라는 이름의 사용자계정과 ‘thkim’이라는 이름의 연락처를 만들어 둔 것을 구분할 수 있다. 이름 옆의 아이콘이 서로 다른 것을 기억하자. ‘thkim’이라는 이름은 도메인에서 로그온을 한다거나 하는 것과는 무관하다. 다만 메일 클라이언트 프로그램으로 Outlook을 사용하는 클라이언트가 Exchange Server 에 연결하여 주소록을 클릭했을 때 ‘thkim’이라는 이름을 확인할 수 있게 할 것이다.

<그림13-52. Outlook 의 주소록 화면>

 

⑥    InetOrgPerson : 비 Microsoft LDAP 및 X.500 디렉터리 서비스에서 조직 내의 사람을 나타내는 데 사용되며 다른 LDAP디렉터리로부터 Active Directory로의 효율적인 마이그레이션을 지원하기 위해 Windows Server 2003 Active Directory에서 추가되었다.

 

⑦    MSMQ 대기열 별칭 : InetOrgPerson과 같이 Windows Server 2003의 Active Directory에서 추가된 개체이다. MSMQ를 사용하는 서버들이 설치시 특정개체를 생성하고 Message Queuing과 관련된 다양한 정보를 저장할 용도로 사용한다.

 

⑧    공유폴더 (Shared Folder) : 공유폴더를 Active Directory에 게시(publishing)함으로써 사용자들에게 자원을 쉽게 찾을 수 있도록 제공한다. 구체적인 사항에 대해서는 AD의 장점을 이야기 하면서 언급한 바 있다.

 

⑨    조직단위(Organizational Unit; OU) : 그룹과 많이 혼돈하여 사용하는 경향이 있는데 구분해야 한다. 그룹이 사용자를 관리하기 쉽도록 부서, 직급 등으로 조직화하는 것에 반하여 OU는 IT관리조직이 회사의 시스템을 보다 효율적으로 관리하도록 나누는 관리단위이다. 사용자와는 무관하다. 사용자들은 자신이 어떤 조직단위에 소속되었는지 알 지도 못하고 알 필요도 없다. 다만 IT관리자는 회사의 조직을 OU로 나눔으로써 그룹정책, 관리권한의 위임 등의 방법을 통하여 관리의 최적화를 이뤄낼 수가 있다.

 

이상으로 Active Directory에서 생성되는 9가지 개체들에 대해서 간단히 설명하였다. 지금부터는 간단한 예제를 통해서 개체를 생성해 보도록 하겠다. 예제에서 windowsnetwork.msft 도메인의 하위에는 Bulitin, Computers, Domain Controllers, ForeignSecurityPrincipals, Users 라는 5개의 서브폴더가 보인다. 각각 Active Directory에서 기본생성되는 로컬그룹, 멤버서버로 등록되는 컴퓨터계정, 도메인컨트롤러들, 트러스트관계를 맺었을때의 외부 컴퓨터들, 기본제공되는 글로벌 그룹과 Administrator 등과 같은 사용자들의 기본적인 저장위치가 된다. 이 기본적인 폴더는 그대로 두고 추가의 작업을 해 본다.

 

제일 먼저 조직단위(OU)를 먼저 추가할 것을 권장한다. 시행착오를 겪으면서 이해가 되겠지만 관리가 상당히 편해진다. 필자 개인적인 생각으로는 NT4.0의 도메인과 Active Directory 도메인과의 관리적인 측면에서 큰 변화라면 바로 이 조직단위(OU)의 유무를 이야기 하고 싶다. Active Directory에서는 이 OU를 제공함으로써 계층적인 도메인의 관리를 가능하게 만들었고, 관리의 효율성을 극대화 시키고, 도메인의 구조를 간소화 시키는 등 Active Directory가 돋보이게 만드는데 크게 기여를 하고 있기 때문이다. OU를 적절히 사용하는 것은 원활한 관리와 직결된다고 하겠다.

 

Active Directory사용자 및 컴퓨터 관리도구를 열고 도메인이름을 클릭한후 새로만들기 에서 ‘조직단위’를 클릭하여 OU를 생성한다.

<그림13-53. 새 개체 만들기 – 조직단위>

 

예제에서 ‘전체조직’이라는 이름을 할당했다. ‘전체조직’이라는 이름의 OU를 먼저 생성한 다음 차례대로 그 아래에는 ‘서울, 미국, 대전, IT관리’등의 하위OU를 생성했다.

<그림13-54. OU 관리 예제>

 

일단은 위와 같이 조직을 관리할 수 있도록 구성을 먼저 하고 그 다음에 사용자 및 그룹들을 생성하는 것이 바람직하다. 같은 방법으로 각각의 OU에서 사용자, 그룹 등의 개체들을 생성할 수 있다.