1. ActiveDirectory guide
With windows2008 & J2EE
Subject ActiveDirectory
최종 작성일 2012.05.21 작성자 윤석진
승인일 승인자
Version History 업데이트일 주요내용
V0.,1 2012.04.22 AD개념, 설정, 2003~2008에서의 변화 / JAVA 프로그래밍
2. Subject ActiveDirectory 작성자 윤석진 최종작성일
X.500:
디렉터리 서비스를 전달하는 네트워크 표준
인터넷이 가능한 경우에 누구라도 활용가능한 글로벌디렉토리의 일부
가 될 수 있도록 전자적인
디렉토리로 개발하기 위한 표준 방식
디렉토리 구성
국가, 조직, 조직단위, 사람 등과 같은 트리 구조에 있는 루트 디렉토
리 아래에 구성된다.
이러한 각 계층에 있는 엔트리는 일정한 속성을 갖는다.
분산글로벌 디렉토리는 등록과정과 많은 디렉토리를 관리하는 하나
이상의 중앙 지역을 통해 동작한다DSA(directory System Agent)
x.500의 각 디렉토리를 DSA라고 부른다.
서비스제공자
도메인이름등록 감시기관interNIC / ESNEt
2
3. Subject ActiveDirectory 작성자 윤석진 최종작성일
DIB DSA : Directory System Agent
디렉토리에 존재하는 정보관리
entry entry entry entry entry
DUA: Directory user Agent
사용자가 디렉토리 서비스에 접근
할 수 있게 함
attribute attribute attribute attribute
DIB: Directory Infromation Base
DIT(directory information tree) 를 이
용하여 정보를 저장
Attribute Attribute 엔트리: 이름을 가지고 있는 객체
type values 객체: 속성들의 집합
속성: 타입과 하나 이상의 값
Distinguished Attribute Attribute
Attribute value value value
3
4. Subject ActiveDirectory 작성자 윤석진 최종작성일
Dc = domain
Dn: distinguished Name
O: organization
cn = common name
Ou = people c:country
rdn: relative distinguished name
ou: organizational unit
Ou = devices
sn: surname
cn = getrald carter
cn = getrald carter ObjectClass:person
Sn:carter
telephoneNumber:843-222
4
5. Subject ActiveDirectory 작성자 윤석진 최종작성일
조직이나 객체, 그리고 인터넷이나 기업 내의 인트라넷 등 네트윅 상에 있는 파일이나 장치들과 같은 자원등의 위치를 찾을 수 있게 해주
는 소프트웨어 프로토콜
네트윅 내의 디렉토리 서비스 표준인 X.500의 일부로 DAP의 경량판이다.
포트사용 정보
LDAP : 389, 636
Global Domain : 3268, 3269
SMB: 139
CIFS: 445
5
6. Subject ActiveDirectory 작성자 윤석진 최종작성일
1.KRB_AS_REQ:
kerberos 방식이 KDC에 TGT(티켓 허가 서비스)를 위한 인증 서비스 요
청 2. KRB_AS_REP:
TGT(Ticket-Granting Ticket)를 위한 인증 서비스 요청에 응답
3. KRB_TGS_REQ:
어플리케이션서버에 접근하기 위해 KDC에 TGT를 바탕으로 한
TGS(Ticket-Granting Service) 티켓 요청
4. KRB_TGS_REP:
3 어플리케이션 / 파일 서버에 접근하기 위한
5 4 TGS티켓에 대한 응답
6 2
5. KRB_AP_REQ:
1
어플리케이션 / 파일 서버에 TGS 티켓전달
6. KRB_AP_REP:
어플리케이션 / 파일 서버가 TGS 확인
Kerberos 인증 성립
어플리케이션 서버에 접근 가능하게 됨
KDC(kerberos 분배센터)
6
7. Subject ActiveDirectory 작성자 윤석진 최종작성일
LDAP C 기반의 LDAP API
RFC 1823
MAPI Message api
복제 RPC
7
8. Subject ActiveDirectory 작성자 윤석진 최종작성일
Workgroup: 같은 레벨의 pc가 같은 그룹으로 묶여있는 경우
계정정보가 각 pc별로 존재한다. ( Set Account Manager)
GlobalCatalog: AD 트러스트 내에서 도메인들에 대한 정보를 수집
하여 저장하는 저장소
GlobalCatalog
Domain(도메인) DC가 관리할 수 있는 영역
pc가 dc에게 인증요청을 한다.
Kerberos를 이용해 이용자 정보가 일치할 경우 access token을 생성
한다.
Token을 가진 사용자는 로컬에 접속할 수 있게 된다.
DomainController
8
9. Subject ActiveDirectory 작성자 윤석진 최종작성일
JNDI
컨테이너 JAVA Naming Directory Interface
다른 타입의 서비스에 대해서 이름을 통해 검색하고 등록할 수
있는 자바 j2ee 플랫폼의 인터페이스 입니다.
JSP
JNDI는 하단의 그림처럼 LDAP을 비롯한 CORBA 등
다양한 서비스객체를 지원합니다.
Servlet
EJB
JNDI API
J2EE Naming Manager
XML JTA JNDI SPI SPI : 벤더에서 제공하는 영역
LDAP DNS NIS NDS
RMI CORBA
JDBC
JavaMail
JMS
JNDI
서비스 API
9
10. Subject ActiveDirectory 작성자 윤석진 최종작성일
그룹정책 스크립트1
스크립트명 관리작업 비고
BackupAllGPOs.wsf 도메인에 모든 GPO백 지정한 폴더에 백업
Download:
http://www.microsoft.com/en-
업
us/download/confirmation.aspx
?id=14536 backupGPO.wsf GPO백업 GPO명, GUID를 지정하면
해당 GPO를 지정한 폴더에
백업
CopyGPO.wsf GPO복사 새 GPO를 생성하고
원본 GPO의 설정을
스크립트 실행
Cscript 스크립트명.wsf 새 GPO에 복사
CreateEnvironment Xml을 이용해서 조직구성단위, GPO
보안그룹등을 저장한 xml파
FromXML.wsf GPO동작환경생성 일을 읽어들여 스크립트로
개체들을 만들어 환경생성
CreateGPO.wsf GPO생성 지정된 새 GPO생성
CreateMigration 마이그레이션테이블 도메인간 GPO복사 및
가져오기 작업을 할 경우 사
Table.wsf 생성 용자 계정을
매핑하는데 필요한
마이그레이션 테이블
10
11. Subject ActiveDirectory 작성자 윤석진 최종작성일
그룹정책 스크립트2
스크립트명 관리작업 비고
CreateXMLFrom GPO동작환경을 저장 조직단위, GPO, GPO
Environment.wsf 하는 XML파일 생성 보안설정 등에 대한
정보를 저장하는
XML파일 생성
DeleteGPO.wsf GPO삭제 GPO 이름이나 GUID
를 지정하면 해당
GPO를 삭제
SOM의 연결 삭제
GrantPermission 모든 GPO에 대해 도메인의 모든 GPO에
OnAllGPOs.wsf 사용권한 설정 대한 지정한 사용권한
설정
ImportGPO.wsf GPO의 정책 설정 지정된 백업에서 도메
가져오기 인에 있는 기존의
GPO로 정책설정
가져옴
ImportAllGPOs.wsf 다수의 gpo 정책설정 새 gpo생성 후 지정한
가져오기 경로에 저장된
정보를 GPO로 가져옴
11