820 likes | 1.33k Views
주식회사 글로벌소프트 Active Directory 소개 및 활용 방법. www.globalsoft.co.kr. 목 차. 회사 소개 Active Directory 소개 그룹정책 소개 그룹정책을 통한 보안 관리 소프트웨어 배포 및 스크립트 배포 패치 관리를 위한 제품별 솔루션 비교 Q & A 및 요구조건 수렴. 회사 소개. 글로벌소프트는
E N D
주식회사 글로벌소프트Active Directory 소개 및 활용 방법 www.globalsoft.co.kr
목 차 • 회사 소개 • Active Directory 소개 • 그룹정책 소개 • 그룹정책을 통한 보안 관리 • 소프트웨어 배포 및 스크립트 배포 • 패치 관리를 위한 제품별 솔루션 비교 • Q & A 및 요구조건 수렴 글로벌소프트
회사 소개 글로벌소프트는 "새로운 IT문화의 창조", "人才第一", "가족과 같은 기업" 이라는 경영방침아래 우수한 인적 자원으로 전 임직원이 합심, 단결하여21세기 변화의 시대를 선도하는 기업이 되도록 하겠습니다. 그래서 여러분과 더불어 살아가는 미래의 삶의 보람과 가치를 끊임없이 보완하고 향상시켜 나가는 가치창조의 기업이 되도록 노력하겠습니다. 글로벌소프트
Active Directory 소개 • 디렉터리 서비스란? • 액티브 디렉터리 소개 • 액티브 디렉터리 기능 글로벌소프트
디렉터리 서비스란 무엇인가? • 네트워크 객체를 조직화하고, 관리하고, 찾아내는 도구 • 분산 컴퓨팅 환경에서 사용자의 단일 로그 온, 관리자를 위한 중앙화된 관리를 가능하게 해주는 네트워크 정보 저장소 • 네트워크 객체 (Object) • Application, 사용자, 프린터, 문건, e-mail주소, DB, 분산 객체 글로벌소프트
이완주 • 속성 • 값 • Name • E-Mail • Title • 이 완주 • wjlee • 과장 액티브 디렉터리란.. • 조직의 사람이나 자원에 대한 정보를 담고 있는 구조화된 저장소 Domain OU1 Computers Computer1 Users User1 OU2 Users User2 Printers Printer1 글로벌소프트
Directory Service의 필요성 • 현재 문제점 • 오늘날 Business환경의 변화에 따라 IT자원의 팽창으로 보안 및 관리상 많은 문제가 발생하게 되어 이에 대한 철저한 관리가 요구되고 있음. 데스크 탑 관리 - H/W, S/W Inventory 관리 부실 - 개인 PC의 일관성 있는 정책관리 곤란 통합된 Client 관리체계 필요 보안 - 사용자 계정 개별관리로 보안취약성 발생 - 백신 업데이트, OS패치 관리 취약 설치 및 구성 - 필수 S/W 수동배포로 S/W 도입효과 저하 - OA업무환경 변화에 수동적 대응 유지보수 - 직접방문을 통한 비효율적 A/S - 단순 S/W 설치업무등에 작업시간 소모 글로벌소프트
Directory Service의 필요성 • 개인별로 운영, 관리되고 있는 업무용 PC 등 기타 전산 자원을 논리적으로 조직화하여 중앙에서 통합 관리할 수 있도록 구성함 • 전사 표준 운영체제인 Windows 운영체제 탑재 PC에 대한 Active Directory 적용으로 중앙 집중적이며 유연성을 갖춘 정책운영 구조로 관리 체제를 개선할 수 있음 Directory Server 그룹 A 관리정책A 그룹 B 관리정책B 글로벌소프트
Microsoft Active Directory • 디렉터리 서비스가 지원하는 프로토콜 및 개체 형식은 디렉터리 서비스의 개방성을 판단하는 척도가 됩니다. • 디렉터리 서비스는 통합의 기준점이 되어야 하며 질서와 구조의 관념을 제공해야 합니다. • 액티브 디렉터리는 산업 표준 프로토콜(LDAP)과 형식을 광범위하게 지원하며 강력하고 유연하고 사용이 편리한 API를 제공합니다. 뿐만 아니라, 액티브 디렉터리는 관리자와 사용자에게 리소스 및 관리 정보의 종합적인 소스를 제공합니다. 제안 시스템의 향후 전사 확장을 고려하여 통합 디렉터리 인프라 구축이 전제 되어야 합니다. • 액티브 디렉터리 시스템은 이러한 요구사항을 수용하는 확장성 있는 인터넷 표준 디렉터리 서비스를 제공합니다. 글로벌소프트
DNS SNTP DHCP Internet-Standard Technologies LDAP TCP/IP LDIF X.509 Kerberos 액티브 디렉터리 서비스 개요 • 통합된 디렉터리 • 인터넷 개념을 운영체제의 디렉터리 서비스와 통합하여 이기종 환경에 존재하고 있는 고객정보를 통합 관리 • LDAP을 핵심 프로토콜로 사용 • 이기종 운영 체제간의 경계를 넘어서 동작하며 다중적인 고객 데이터를 하나로 통합함 • 응용 프로그램 및 NOS 기반 디렉터리까지 포괄하는 다목적용 디렉터리 서비스 • LDAP 프로토콜 사용으로 X.500의 오버헤드 없이 X.500의 정보 모델을 지원하며 이를 통한 이기종 네트워크 관리에 필요한 높은 수준의 상호운용성을 보장 글로벌소프트
액티브 디렉터리 서비스 개요 • 관리지점의 단일화 • 웹 액세스, 사용자, 서비스 등 제공하는 서비스를 한 지점에서 관리 • DNS를 Locator Service로 사용함으로 도메인 개체들을 조직 구성 단위 계층 구조로 조직하며 도메인이 트리 구조로 연결 • Primary Domain Controller와 Backup Domain Controller의 구분이 없으며, 이를 통해 관리가 용이함 • 모든 Domain Controller가 대등하기 때문에 관리자는 어떤 도메인 컨트롤러에서나 작업이 가능하며 모든 업데이트가 다른 도메인 컨트롤러로 자동 복제됨 디렉터리 서비스 기능 중앙화된 관리 • 조직화 • 관리 • 제어 • 관리지점의 단일화 • 사용자는 한번의 로그온으로 디렉터리를 통해서 모든 자원 액세스 가능 • 사용자의 중복관리 배제 리소스 글로벌소프트
도메인 도메인 도메인 트리 OU 도메인 도메인 도메인 Domain OU OU 트리 포리스트 액티브 디렉터리 서비스 개요 • 확장성 • Microsoft Active Directory는 LDAP 표준 기반으로 빠른 검색을 위한 다중 색인과 개체를 저장하기 위한 구조 제공 • 이를 기반으로 소규모부터 수억개 이상의 개체를 수용하는 대규모 설치까지 수용 가능한 다목적 디렉터리 서비스 • 다중 저장소 지원을 통한 단순한 계층 구조와 손쉬운 관리를 통한 뛰어난 확장성 제공 글로벌소프트
액티브 디렉터리란 • 윈도우 클라이언트 • 관리 프로파일 • 네트웍 정보 • 정책 (Policy) • 윈도우 서버 • 관리 프로파일 • 네트웍 정보 • 서비스 • 프린터 • 파일 공유 • 정책 (Policy) • 윈도우 사용자 • Account 정보 • 권한 (Privileges) • 프로파일 (Profiles) • 정책 (Policy) • 기타 디렉토리 • E-Commerce • 네트웍 디바이스 • Configuration • QoS 정책 • 보안 정책 • 관리의 주안점 : • 사용자와 자원 • 보안 • 위임 • 정책 (Policy) Active Directory • 기타 NOS • User registry • Security • Policy • 파이어월 서비스 • Configuration • 보안 정책 • VPN 정책 • 어플리케이션 • 서버 구성(config.) • 단일 사인-온(Sign-On) • 어플리케이션에 특정한 디렉터리 정보 • 정책(Policy) • E-Mail 서버 • 메일 박스 정보 • 주소록 Internet 글로벌소프트
그룹 정책 소개 • 그룹 정책이란? • 사용자 및 컴퓨터 구성 설정이란? • 로컬 컴퓨터 정책을 설정하는 방법 • 그룹 정책 개체를 만드는 데 사용되는 도구 글로벌소프트
그룹 정책이란? • GPO (Group Policy Object) 는 주어진 사용자에게 적용될 수 있는 일련의 설정 • 물리적인 위치에 상관 없이 대상에 적용 • 다수의 개별적인 설정을 포함 • A GPO is made up of a GPT stored on SYSVOL and a GPC stored in the Active Directory • 그룹 정책은 Local Computer, Site, Domain, or Organization Uint에 적용 Tip: 그룹 정책은 사이트, 도메인, OU 수준에서 적용되며 보안 그룹에서 필터링 할 수 있다. 글로벌소프트
그룹 정책을 사용하는 이유 그룹정책을사용하면 • 사용자와컴퓨터를관리할수있습니다. • 소프트웨어를 배포할 수 있습니다. • 보안 설정을 적용할 수 있습니다. • 일관된 데스크톱 환경을 적용할 수 있습니다. 글로벌소프트
사용하지 않도록 설정된 그룹 정책 설정과 사용하도록 설정된 그룹 정책 설정 사용/사용안함 다중값설정 글로벌소프트
그룹 정책의 구성 • 컴퓨터 및 사용자 설정 • 소프트웨어 정책 • 소프트웨어 관리 • 사용자 문서 및 설정 • 보안 설정 • 스크립트 글로벌소프트
사용자 및 컴퓨터 구성 설정이란? • 사용자 그룹 정책 설정: • 바탕 화면 설정 • 소프트웨어 설정 • Windows 설정 • 보안 설정 • 컴퓨터 그룹 정책 설정: • 바탕 화면 동작 • 소프트웨어 설정 • Windows 설정 • 보안 설정 글로벌소프트
그룹 정책 개체를 만드는 데 사용되는 도구 • 기본 그룹 정책 도구 • Active Directory 사용자 및 컴퓨터 • 도메인 및 조직 구성 단위 그룹 정책 개체 • Active Directory 사이트 및 서비스 • 사이트 그룹 정책 개체 • 로컬 보안 정책 • 로컬 컴퓨터 보안 설정 • 추가 기능 도구 • Group Policy Management • 도메인, 조직 구성 개체, 사이트 그룹 정책 개체 글로벌소프트
도메인에서의 그룹 정책 개체 관리란? 글로벌소프트
개요 • Windows Server 2003 보안 개요 • 보안 템플릿으로 컴퓨터 보안 설정 • 컴퓨터 보안 정책 테스트 • 감사 구성 • 보안 로그 관리 글로벌소프트
Windows Server 2003 보안 개요 • 사용자 권한이란? • 사용자 권한과 사용 권한 • 기본 제공 그룹에 할당되는 사용자 권한 • 사용자 권한 할당 방법 글로벌소프트
사용자 권한이란? 사용자권한의예 글로벌소프트
사용자 권한과 사용 권한 사용자권한: 시스템에 대한 작업 사용권한:개체에대한작업 글로벌소프트
Builtin컨테이너의그룹: • AccountOperators • Administrators • Backup Operators • Pre-Windows 2000 Compatible Access • Print Operators • Server Operators 기본 제공 그룹에 할당되는 사용자 권한 기본제공로컬그룹: • Administrators • Backup Operators • Power Users • Remote Desktop Users • Users Users컨테이너의그룹: • DomainAdmins • Enterprise Admins 글로벌소프트
보안 템플릿으로 컴퓨터 보안 설정 • 보안 정책이란? • 보안 템플릿이란? • 보안 템플릿 설정이란? • 사용자 지정 보안 템플릿을 만드는 방법 • 보안 템플릿을 가져오는 방법 글로벌소프트
보안 정책이란? 글로벌소프트
보안 템플릿이란? 글로벌소프트
보안 템플릿 설정이란? 보안템플릿:보안설정 설정의예 글로벌소프트
컴퓨터 보안 정책 테스트 • 보안 구성 및 분석 도구란? • 컴퓨터 보안 테스트 방법 글로벌소프트
템플릿과일치하지않는설정 보안 구성 및 분석 도구란? 템플릿설정 실제설정 글로벌소프트
그룹 정책으로 소프트웨어 배포 • 그룹 정책 소프트웨어 배포란? • 그룹 정책으로 소프트웨어 배포 방법 글로벌소프트
1 2 1.0 준비 배포 2.0 4 3 제거 관리 그룹 정책 소프트웨어 배포란? 글로벌소프트
Windows Installer 란? Windows Installer • Windows Installer 서비스 • 자동화 설치 가능 • 응용프로그램의 부분적 설치 가능 • Windows Installer 패키지 • 응용프로그램의 설치 및 제거 가능 • 배포 후 결과 확인 가능 • 배포 지점의 다양화 Windows Installer 이점 • 선택적 설치 • 다양한 응용프로그램 • 깨끗한 제거 글로벌소프트
Word 2002 Accounting GPO FileName.doc Accounting Word 2002 Sales GPO Word 2000 FileName.doc Word 2000 Sales 확장자별 관리? GPO 단위 기반의 응용프로그램 관리 글로벌소프트
1.0 1.0 2.0 2.0 2.0 2.0 소프트웨어 업그레이드 다음버전의 응용프로그램 글로벌소프트
1 Upgrade Upgrade 소프트웨어 업그레이드 진행 4 최종 업그레이드 진행 재 배포 작업 2 Group Policy 패키지 재 배포 3 사용자 로그온 후 재 배포 또는 다시 배포 방법 이용 글로벌소프트
소프트웨어 제거 방법 글로벌소프트
그룹 정책으로 소프트웨어 배포 방법 그룹정책을사용하여소프트웨어를 배포하는방법을강의합니다. 글로벌소프트
그룹 정책으로 스크립트 배포 • 그룹 정책 스크립트 설정이란? • 그룹 정책으로 스크립트 배포 방법 글로벌소프트
그룹 정책 스크립트 설정이란? Set objNetwork = Wscript.CreateObject("WScript.Network") objNetwork.MapNetworkDrive"G:", "\\ComputerName\ComputerName Data" msgbox "스크립트가 작동합니다." 글로벌소프트
그룹 정책으로 스크립트 배포 방법 그룹정책을사용하여스크립트를배포하는방법을강의합니다. 글로벌소프트
자산 관리 • 하드웨어 인벤토리 • 소프트웨어 인벤토리 • 소프트웨어 사용 추적 엔터프라이즈 급 • 중앙과 지점에 대한 통합 관리 • 단일한 보안/액세스 구조 • 확장 가능한 아키텍처 트러블슈팅 • 원격제어 • Diagnostic 도구 • 네트워크 트래픽 모니터링 (Network Monitor) SMS 란? Change and Configuration Management 소프트웨어 분배 • 분배의 제어와 스케줄 분배 • 대역폭 제어 • 상태 보고 글로벌소프트
SMS란? 일반적인 구성도 SMS Primary Site 하드웨어소프트웨어인벤토리 보안패치 소프트웨어 설치 Report SMS Primary Site Server 원격제어 분배Patch or Software SMS Database Consoles Patch & Software Install Remote Control SMS Secondary Site SMS Primary Site SMS Database A 지점 Office B 지점 Office C 사무소 글로벌소프트
SMS 2.0 사용자의 요구 • 다음 버전에서는 품질이 더 높아져야 한다. • 이동 시스템에대한 관리기능을 최우선으로 제공할 것. • SMS가 반드시 Active Directory의 이점을 이용할 수 있어야 함 • 더 나은 인프라스트럭쳐와 내장 리포트 툴 • 어플리케이션의 사용량을 측정할 수 있는 미터링 도구를 제공. • SMS의 보안 관리를 좀 더 쉽게. • 설치, 마이그레이션, 상호 운영성을 좀 더 단순하고 쉽게 글로벌소프트
SMS2003의 응답 대규모 환경에서 ,다양한 Windows 클라이언트와 서버를 관리하기 위한 최고의 소프트웨어-자산 관리 도구 제공 • 모바일지원 • 모바일 사용자를 위한 새로운 “Advanced Client” 제공 • 대역폭 제어, Checkpoint 에서 재시작 하는 전송 • 표준 HTTP 프로토콜을 이용하여 대규모 환경 지원 • Windows 운영체제와 통합 • 액티브 디렉터리 통합 • 프로그램 추가/삭제 와 통합 • Add/Remove Programs integration • Microsoft Windows Installer 포맷 지원과 “Permission Elevated” 지원 • 자산관리 기능 강화 • 더 정확한 인벤토리 • 새로운 사용량 측정 솔루션 • 풍부한 내장 리포팅 글로벌소프트
액티브 디렉터리 통합 • SMS 2003 은 SMS Site 경계를 Active Directory의 사이트 이름을 이용. • AD 또는 SMS 중 한 곳에서만 IP Subnet을 정의 하면 됨 • Active Directory의 컴퓨터와 사용자를 발견 • 액티브 디렉터리의 사용자, 컴퓨터, OU, 보안 그룹, 사이트를 발견 • Active Directory의 OU와 보안 그룹은 SMS의 분배 목표가 됨 • 사용자, 컴퓨터 역시 분배 목표 • SMS 모바일 클라이언트는 Management Point를 찾기 위해 AD 에 질의 글로벌소프트
액티브 디렉터리 통합 Primary Site Active Directory Assigned Site Management Point Location Roaming Site Policy Content Location Content Primary Site Primary Site Primary Site 글로벌소프트
발견과 설치 Current State: 30%의 Enterprise 기업이 혼란상태에 있음- Essentially Unmanaged Goal: “단지, 우리가 소유한 자산이 무엇인지? 몇 개인지? 만이라도 알고 싶다” • Network Discovery와 Active Directory System Discovery는 네트워크 상의 컴퓨터 항목을 수집. • Active Directory 발견은 Network Discovery 발견보다 쉽고 영향이 적음 • 주기적인 자동 발견 • 발견 정보가 수집된 컴퓨터에 대한 원격 설치 • Push !!!!! • “Install Client” 메뉴 • Winnt4.0, Windows 2000, Windows XP, Windows 2003 Server • Heartbeat 발견 • 업데이트 되지 않은 레코드 삭제 글로벌소프트