Embed Size (px)
Citation preview
Windows Active Directory Overview
한국마이크로소프트
목 차
디렉터리 서비스 란?
액티브 디렉터리 소개
액티브 디렉터리 개념
액티브 디렉터리 주요 활용 시나리오
액티브 디렉터리 기반의 SMS2003 활용 시나리오
액티브 디렉터리 인프라의 추가 확장 시나리오
액티브 디렉터리 도입 현황 및 사례
Demo
Q & A
디렉터리 서비스 란?
네트워크 컴퓨터 시스템에서 디렉터리는 네트워크 개체들의 정보에 대한 소스이며, 디렉터리 서비스는 네트워크 자원들에 대한 접근을 조직화하고 단순화시켜서 사용자들이 사용할 수 있게 해준다.
디렉터리역할분류
Web server
Extranet Directory
Internet
Network Operating System
(NOS) Directory• All about performance/scalability
• local login & Extranet Application
• Active Directory, eDirectory etc.
Departments or remote offices
Application Directory
• All about the data.
Data center
일반적으로 디렉터리의 역할에 따라 Extranet , Application, NOS 디렉터리로 구분할 수 있다.
Active Directory 개념
Active Directory는 Windows Server 2003 운영 체제를 위한 디렉터리 서비스입니다. Active Directory는 네트워크에 개체 정보를 저장하고 이 정보를 관리자와 사용자가 쉽게
찾을 수 있도록 하여 디렉터리 정보의 논리적이고 계층적인 구성을 제공합니다.
Distributed Repository디지털 ID 및 속성조직의 그룹보안 그룹어플리케이션 및 서비스로케이션관리 및 보안 정책디지털 인증서네트워크 액세스 정책
Integrated SecurityKerberosx.509 디지털 인증서Basic and Digest AuthN싱글 사인 온네트워크 인증Role-based 액세스
Flexible AccessLDAP v3 – Standards-based access
ADSI – Simple COM-based Interface
DSML – XML Interface
Simplified Management
위임 관리
윈도우 데스크톱 관리
그룹 정책
IdentityRoles and
Responsibilities
사용자 Identity
Roles and Resp
계정 정보Privileges
프로파일정책싱글 사인 온
데스크톱 /모바일 시스템
구성패치 관리보안Quarantine
정책
액세스 & Service Definition
네트워크 디바이스
구성Quality of Service
보안 정책싱글 사인 온
액티브 디렉터리
Operational Efficiency
Improved Security
Improved Productivity
Interoperability
보안 서비스
구성보안 정책VPN & Remote Access
Quarantine
싱글 사인 온
서비스 Supply
Microsoft 어플리케이션
제품 정보권한프로파일정책자동 배포
기타 시스템
디렉터리데이터베이스Mainframes
UNIX
서버 액세스 / 권한
네트워크리소스파일 공유프린터정책
3rd Party Applications
싱글 사인 온자동 배포구성App-specific directory data
디렉터리 서비스 Service Definition사용자 리스트
Active Directory Service
Activ
e Directo
ry
데스크톱
사용자
서버
네트워크자원
보안정책
스마트카드윈도우로그온
스마트카드출입통제
인증요청
인증 / 거부
PC별그룹별
사용자 별보안 정책 적용
허가 받은 사용보안 통제중앙 제어
사용자인증
PC 및
사용자제어
접근제어
보안정책/GPO
사용자Identity
OKOKOK
OK
보안정책/GPO
사용자Identity
ResourceIdentity
보안정책/GPO
사용자Identity
ResourceIdentity
Resource
Identity
보안 정책 적용 / 관리SERVERS CLINET
보안 정책GPO
통제보안 강화
사용자 / 보안 / 접근 제어 인프라
자산관리
자동 보안 패치자동 S/W 분배
Helpdesk 지원
능력 향상TCO 감소
AD
/ SM
S
S/W
배포 및패치관리
원격지원
모니터링
Activ
e Directo
ry
보안정책/GPO
사용자Identity
ResourceIdentity
AD
/ MO
M
안정적인 작업 환경최신 상태 유지
PC 설치 S/W 목록
자산 정보 수집
통제예측
SERVERS CLIENT
관리자
자산 파악
관리자
관리자
SERVERS CLIENT 상태 정보
통제예측
관리자
상태 파악Alert
경향분석
자원 및 상태 파악
시스템 통합/관리 인프라
Active Directory 주요활용시나리오
AD 기반의 PC/사용자 관리의 표준화
IT 관리자
Active Directory에 의해 ,전사 레벨로 표준화된 IT 환경
Active Directory사용자 ID /
보안 그룹, 네트워크자원의 일원화 된관리기반
IT governance을 통한 표준화의 장점·사용자 ID관리 체계, 서버 자원에의 액세스 권한 ,
Password 정책 등의 Security level의 통일·효율적인 표준화 된 사용자 관리·일관된 IT service level의 제공.
사용자 ID 체계의 통일, 액세스 관리의 일원화, 보안 정책 등의 IT governance를 강화. 사용자 관리 업무나, 장래의 시스템 추가에 있어서도, 최대한의 확장 가능. 각 부서 단위가 아닌, 중앙의 전임 관리자에 의해서 일관적인 서비스를 전사에 제공 가능.
글로벌 Directory Service가 없는 IT 환경
비즈니스의 지속성에 부정적 영향・부서나 시스템 별로 산재된 분산된 IT환경・보안 레벨이 가지각색・비효율적인 방법의 중복 작업 수행
PC 보안 정책 적용
Active Directory의 그룹 정책에 의해 PC 역할별로 보안/구성 설정을 정책으로서, 일괄적으로관리하고 자동 배포합니다. PC 보안 강화를 위한 다양한 설정을 Active Directory에서 집중관리 하는 것으로, PC의보안설정 관리/운용의 효율화를 도모할 수 있습니다.
Active Directory
다양한 정책을 배포 가능
・보안Template주요 보안 관계의 설정을집약한 설정 항목
・IP Security 정책Packet filtering이나 IP의인증·암호화의 설정
・관리 TemplateOS나 어플리케이션 마다 기본설정 항목 Template
계정 보호불필요한 포트를 막는다
인프라 서버
desktop 설정
PC 보안 설정서비스의 정지Windows
방화벽 설정소프트웨어 제한기타
클라이언트(Windows XP/2000)
프린트 서버파일 서버
삭제나 무효화에 의한 불필요한 기능을 배제
Active Directory에 의해, 서버의 역할마다 그룹화 가능.역할별로 분류된 그룹에 따라 보안 설정을 Active Directory의
그룹 정책으로 일괄 설정 및 적용 가능.
서비스의 정지desktop 설정
컴퓨터 정책 컴퓨터 정책컴퓨터 정책
컴퓨터 정책 및 사용자 정책
AD 기반의 통합 인증 환경 구현
PKI를 인트라넷으로의 확장을 통해, 강력한 보안 인증 기반 구현. 사용자 계정 매핑을 자동화하여, 서비스 사용자 관리는 Active Directory으로 일원화 가능. Active Directory, CA 서버, PKI 클라이언트 전체를 Windows 표준기능으로 구현 가능.
RADIUS인증
무선LAN 유선LAN
RAS VPN무선LAN
VPN
유선LAN
RAS
네트워크 인증
스마트 카드 로그온
Active Directory
사용자/ 그룹의 관리 액세스 권한의 집중관리 루트 인증서 배포 CRL공개, 인증서 배포
GroupsACLs
도메인 인증
Internet
Explore
Web 서버로서 기능 SSL 클라이언트 인증으로
액세스 제어 가능
Internet Information Service (IIS)
SSL인증
EFS*S/MIME
코드 서명메일
인증서서비스(CertSrv) CA 서버로서 기능 Active Directory와 연동,
Windows 계정과 연결된 사용자인증서를 발행
인증서 갱신/배포도 Windows 계정으로 연동한 자동화가 가능
계정 연동
사용자계정 인증
인터넷인증서비스 (IAS)
RADIUS 서버로서 기능 인증용 데이터 베이스로서
Active Directory을 이용
사용자/ 서버 인증서자동 갱신/배포
사용자계정 인증
스마트 카드 등의 인증 강화
스마트 카드의 소지와 PIN의 입력이 필요해, PC의 부정 사용 위험이 패스워드와 비교해 향상.디지털 인증서로 인증이 강화되어, VPN 로그온 등 인터넷 경유의 액세스를 강화.
스마트 카드로그온
인증서 서비스(CA)인증서 발행인증서의 자동배포・갱신
스마트 카드 로그온데스크톱 로그온자리 비움 시 화면 잠김
강력한 인증을 통한 신뢰할 수있는 Access 제어
스마트 카드 인증VPN 로그온
ISA Server
VPN로그온
사내정보 리소스모바일PC
위장 방지디지털 인증서에 의한강력한 인증 프로토콜
위장 방지
사내 이용스마트 카드를 항상 휴대해착석하고 카드를 뽑으면 PC를사용할 수 있는 것처럼 되어, 카드를 뽑으면 화면 잠금.입/출입 카드와 일체화하여카드를 항상 휴대하는 운영을실시
사외 사용인터넷에 공개되는 VPN등사내 리소스를 공개하는서비스에서의 공격의 Risk.패스워드가 아닌 스마트카드의 인증서로 인증하여, 보안 강화
데스크톱 PC
Active Directory 기반의 SMS 2003 활용시나리오
소프트웨어 자동 배포
SMS은 유연한 스케줄링, 고도의 Installation 제어의 구조를 갖는 소프트웨어 배포 기능 제공.구성 정보를 근거로 유연한 targeting, 임의의 지정 조건에 부합되는 PC의 자동 검색/배포 가능.관리자 권한의 인스톨 기능에 의해, 로그온 사용자의 권한과 상관없이 소프트웨어 인스톨 가능
AD기반으로 사용자
권한을 제어하는 환경
SMS 관리 권한 인스톨
• 로그온 사용자 권한과상관없이, SMS를 통한S/W 설치 가능
사용자 레벨의 인스톨은 제한
서버PC
소프트웨어 배포 대상
그룹의 설정
업무용 S/W배포 대상
배포 요건 부합PC 그룹
배포대상의 그룹화
• 구성 데이터를 기반, 배포 대상PC를 임의의 그룹화/관리
• 특정 조건에 부합하는 PC를자동 발견 및 자동 배포 가능
조건 일치 PC의자동 발견
검색된 PC로의자동 배포
고도의 인스톨 제어
•인스톨 실행 및 재부팅 전,
카운트 다운 대기
•스케줄링 및 강제배포, Pull 배포
•스케줄링의 반복 실행
•패키지 인스톨
관리대상PC 구성 데이터
패치 관리
SMS2003에서는, Microsoft Update와의 연동을 통해, 정확성 높은 패치 관리 기능을 제공.관리 대상 PC의 업데이트 프로그램 적용 감사를 수행, 다양한 용도의 웹 리포트 생성.Microsoft Update와연동, 고도의 스케줄링이나 재부팅 제어가 가능한 업데이트 배포 기능 제공.
Microsoft Update에서
최신 업데이트 프로그램
카탈로그를 다운 로드
업데이트 프로그램구성 데이터 최신의 카탈로그에 의한 업데이트 프로그램의
감사를 대상 PC에서 수행, 그 결과를 수집
•감사결과의분석/리포트
•배포 계획 수립
•배포 현황 확인
• Compliance
보고서
MicrosoftUpdate
Microsoft Update 에서 업데이트 프로그램다운 로드, 배포 계획에 따라 SMS를 통해배포.
하드웨어 자산 관리
사내에 존재하는 PC에서 자동적으로 하드웨어나 시스템에 관한 구성정보를 수집.정확성이 높은 정보의 자동수집과 리포팅에 의해 작업 비용 절감 가능.최신 데이터의 사용 가능으로 Inventory・Helpdesk・조달 등의 업무효율화・신속화의 구현.
하드웨어구성데이터
구성의 파악하드웨어・시스템구성의관한 최신정보의 자동수집탑재되어 있는 하드웨어드라이버의 종류・버전OS、서비스 팩、업데이트 프로그램 등
구성의분석
웹 보고서에 의한 구성 정보분석존재하는 PC 수량 및 종류를파악 및 리포팅필요한 구성 정보를 즉시확인, 신속한 대응이 가능업데이트 프로그램이나서비스정보 등을 보안 정책에활용 가능
구성의변경
Helpdesk 업무
하드웨어 교환에 활용현지에 방문 전, 원격에서구성 파악 가능.수집 구성 데이터를기반으로 부품의 사전 조달SMS 원격 지원 툴의 사용
자산관리・Incident
관리・조달 데이터와 연동기존의 자신대장・데이터와의 제휴이용ISV 제품과의 제휴Microsoft Office 제품과의
제휴
소프트웨어 자산 관리
사내에 잠재하는PC에서 도입된 소프트웨어에 관한 구성정보를 자동적으로 수집.정확성이 높은 정보의 자동수집과 리포팅에 의해 작업 비용 절감 가능.최신 데이터의 사용 가능으로 Inventory・Helpdesk・조달 등의 업무효율화・신속화의 구현.
소프트웨어 구성에 관한최신정보의 자동수집• 도입 후 소프트웨어• HDD상의 파일• 지정한 실행 파일의실행이력 등
소프트웨어구성 데이트
Web Report기능에 의한 대장관리
• 도입 후 소프트웨어 집계 리포트• 특정의 소프트웨어나 파일이 존재하는
PC의 일람 리포트• 각 PC의 도입상황 리포트 등• Export・인쇄도 가능
라이센스관리・자산관리소프트웨어와의 제휴• 기존의 라이센스 대장과자신대장과의 제휴이용
• ISV제품과의 제휴• Microsoft Office제품제휴
소프트웨어 배포• 전개전의 정보수집• 대포대상PC의 선별• 전개Status관리• 전개후의 갱신된
PC구성정보의 수집
PC 원격 지원의 효율화
SMS의 원격 관리 기능에 의해서, 현지 지원이 필요한 문제·장애작업을 원격에서 수행 가능.이동 시간의 절감, 그리고 관리자가 원격에서 즉시 진단을 행하여, 지원 업무의 신속화·효율화를실현. 또한 SMS S/W 배포기능을 이용해, 관리 명령이나 스크립트를 정기적으로 원격에서 자동실행하는 것이 가능.
Systems Management Server SP1, (Windows XP 원격 desktop·원격 assistance)
SMS 2003 원격 툴 기능Windows 2000
Windows XP
Windows Server 2003
Windows NT
Windows 98
원격 desktop와의 연동Windows XP
Windows Server 2003
원격assistance와의 연동Windows XP
Windows Server 2003
• 원격 제어• 파일 전송• 원격 재부팅• 원격 명령 실행• 원격 구성진단… 등
관리 명령• batch 커맨드• 스크립트• 실행파일
원격제어: 컴퓨터의 직접 원격 제어·유지보수를 실현
원격 명령: 컴퓨터상에서, 관리·유지보수 커맨드를 원격 실행
• SMS2003 소프트웨어배포기능의 구조를 활용관리자권한에서의 커맨드실행
• 그룹 상태에서의 실행• 고도의 스케줄 링이나
반복 정기 실행
Active Directory 인프라의추가확장시나리오
MIIS2003에서는, 다양한 ID 저장소에 걸치는 ID 정보의 관리를 일원화 할 수 있습니다. 인사 DB등 한 곳에서유지보수 되는 데이터를 이용하여, 계정의 생성·삭제, 액세스 권한설정 등의 작업을 자동화할 수 있습니다. 또한P/W의 동기화나 일괄적인 Reset이 가능하기 때문에, help desk의 비용 절감이나, 사용 편의성 향상을 구현.
사용자 계정 정보 관리의 자동화
LDAP
Database
인사 마스터Active Directory
정사원 정보포함
계정 신청Web App
파견 ·임시 직원 ,부문 채용 사용자용의
계정 정보를 병합
계정 생성
업무 시스템 등
사용자 속성 기반의보안그룹, 배포그룹의 생성
초기 비밀번호의 설정이나 ,ID의 생성, 메일 주소의 생성 ,
메일 박스의 생성 등
help desk용
P/W Reset 툴사용자 속성을이용한 동적
그룹 membership의
설정 전용 Web or AD으로부터의비밀번호 일괄변경
그룹 유지 보수
패스워드 동기화
속성 정보를 동기화ID의 무효화/삭제 등
사용자 정보 동기화
구성된 규칙에 따라서
복수의 ID 저장소를 정기적으로 동기화
(상대편에 에이전트 불필요)
종래는 별도의 수작업이나 Paper 기반의 신청에 의해서 행해지고 있었던, 이종분산 디렉터리환경하에서의 ID 관리 작업을 사전에 정의한 룰에 기인해 자동화 및 효율화할 수 있습니다.사용자에 있어서도, 동일 ID / Password로 많은 시스템을 이용할 수 있어, 업무에 집중 할 수있게 됩니다.
Microsoft Identity Integration Server 2003 / Windows Server 2003
UNIX / Linux / Macintosh 등, 종래는 별도의 인프라의 시스템을 준비하지 않으면 안되었던 환경에 대해서도 , Active Directory을 기반으로 한 환경에서는, 한 곳에서 관리되었던 ID 정보를 기반으로 연동이 가능.
플랫폼을 선택하지 않는 파일 공유 서비스
NIS
Master
AD을 NIS 서버로서
직접 참조
NISSlave
NIS 서버와의 동기화
쌍방향의 비밀번호 동기화
LDAP, Kerberos, Samba등을 사용하여,
로그인 / Web App / 파일 공유 등의다양한 인증을 통합 가능
기존 NIS의 데이터를Import 가능
그 외, 3rd Party 솔루션Vintela Authentication Services을
사용한 인증의 통합도 가능
NFS
Apple Talk
SMB
Web Dav /
FTP
주: UNIX / Linux / Macintosh이라도최신의 것은 SMB을 사용할 수 있는 케이스가 많다
Active Directory 기반의 UNIX / Linux 인증의 통합
Active Directory 기반의 이기종 인증 통합
Active Directory이 갖는 표준 프로토콜, Windows Server R2로 제공되는 표준기능, 3rd Party에서 제공되는 기능 등을 활용하여, UNIX, Linux, Macintosh의 각 서버, 클라이언트에대해서, 인증이나 파일 공유 서비스를 제공하는 것이 가능.
Windows Server 2003 / Windows Server 2003 R2 / Active Directory / Services for Macintosh
UNIX Identity Management (NIS) / Microsoft NFS / Services for UNIX-based Applications
SSO에 의한 보안 강화와 편의성의 향상
싱글 사인 온
Web 어플리케이션
SQL Server
파일 공유
Legacy System
Active Directory Application
Mode (AD/AM)
Web 어플리케이션
인터넷
인증서 서비스 Windows XP
Active Directory Federation Services
Active Directory Federation Services
ADFS를 통해 Intranet Extranet으로의 액세스 확장
ADAM을 이용, AD에서 어려웠던, 사용자 정보의자유로운 주문 구성이 가능. 또, 인증은 AD로 행할 수있기 때문에, 관리부하와 사용자의 생산성에 영향을미치는 비밀번호의 이중관리를 방지
어플리케이션의 Windows 인증방식으로의 통합 및 SSO화의 확대를 통해 사용 편의성이 향상.어플리케이션의 정리 통합에 의해, 어플리케이션·서버의 절감 및, 인증 통합에 따르는 개발, 보수·운용 비용의 절감을 구현.
Windows Server 2003 / Active Directory Application Mode / Host Integration Server
Active Directory Federation Services / IIS / .NET Framework
인증정보의 Trust에 의해서, ID 관리 부하 없이, 회사 / 조직의 테두리를 넘은 Web 어플리케이션의 공유가 가능. 또, 비밀번호에 의한 인증이 불필요하기 때문에 사용자에게도 높은편의성을 제공.WS- * 표준의 기반으로, 타사 벤더 시스템 모두 안전하고 범용성 높은 인증의 상호 연합 가능.Windows Server 2003 R2의 표준기능으로 구축 가능.Active Directory( 또는 Active Directory Application Mode)+Active Directory Federation Services
Web 어플리케이션
자사내의 ID 저장소
사원A
인터넷
조직 A (Web 어플리케이션 사용 측)
Federation Server
자사의 Active Directory 도메인에log-on을 하여, 상대조직내의resource에도 액세스 가능
조직B (Web 어플리케이션 제공 측)
상대편 사용자의ID / 비밀번호의관리 불필요
액세스 사용자의ID 관리가 불필요
상대 조직에제시하는 ID 정보를
관리/제어
제시된 ID 정보를기반한 액세스
권한 제어
Federation Trust
Federation Server
인증서 기반의상호 신뢰액세스할 때의
편의성향상
싱글 사인 온
고객 / 거래처 등과의 안전한 인증수단의 제공
Microsoft Office2003 Editions의 새로운 기술인 IRM은, 디지털 지적 재산의 보호를 지원합니다. IRM에 의해, 복사, 편집, 출력, e메일 전송 등의 기능을 특정의 문서나 e메일에서 제한하는 것이 가능하게 되어, 사용자 및조직이 가치 있는 정보자산을 보다 안전하게 관리 할 수 있게 됩니다.
문서 보안 관리 허가되지 않은 메일 전송이나 파일 저장, 프린트에 의한 정보 누설을 방지합니다. 사외비밀의 정보도 안전하게 이메일 등을 이용하여 신속하게 정보 전달할 수 있습니다.
Office 2003 Professional / Rights Management Services CAL/Active Directory
파일 서버
파일의다운 로드 권한
소유자
복사
프린트
메일 시스템
전송
Outlook 2003Outlook 2003
포털 서버
전송 금지!
비밀입니다!
보존
프린트 불가
전송 불가
암호화되어 볼 수 없습니다!
Office 2003
사외비밀참조
사외비문서
RMS
사용자&그룹
사외
권한 정책 template
본래의 수신자사내
Office 2003
Active Directory
Excel 2003
고객 Data
중요합니다!
표준화된 PC 구성 배포의 효율화
하드웨어나 소프트웨어 등의 구성을 표준화하여, PC의 도입·배포의 효율화나 비용 절감.SMS가 갖는 PC 표준 구성 이미지의 배포기능에 의해, PC의 초기 배포나, 기 도입 PC의환경갱신, 더욱이 장애시의 PC 초기화 배포에 관한 일련의 작업을 간소화 · 자동화해, 운용 관리비용을 절감.
SMS 2003 SP1 + OS Deployment Feature Pack
DHCP (동적 IP 어드레스 환경이 필요)
표준 구성의마스터 PC
SMS2003에등록된
마스터 이미지
SMS2003에 의한 표준 PC의마스터 이미지 작성
( 전용의 이미지 작성 CD을 사용)
표준 구성의 마스터 PC에서 ,이미지 작성 CD을 실행
Sysprep에 의한 복제처리와image file의 작성이자동으로 행해진다
boot 하지 않는 PC에서는 ,전용 설치 CD를 사용
• 신속하고도 효율적인 PC
배포작업을 실현
• 신규 도입 PC에 복제
이미지 배포
• 장애에 의해 기동하지 않게된 PC의 신속한 복구와작업의 효율화를 실현
• CD에서 가동해, 복제
이미지를 다운 로드, HDD 초기화, 도입
• 이미지의 배포기능으로의하여 기존 PC환경의 갱신
• 마스터 이미지에 의한 갱신
• 사용자 환경이나 SMS의
고유 ID을 보유한 채로 ,
PC 구성을 갱신·복구 가능
초기배포
장애복구
기존 PC에는 ,
이미지 배포기능으로 전개 업데이트,복구
Active Directory 도입현황및사례
액티브디렉터리도입 통계(1)미국, 영국, 독일, 일본 기업을 대상으로 실시한 기업의 Active Directory 도입 현황에 관한 Gartner社의 Research 자료에서 Enterprise(PC500+,LORG)의 80%가 이미 도입을 완료했거나 계획 중인 것으로 나타남.
Gartner/Custom Research, 2004-05
41%
11%
11%
15%
22%
47%
7%
7%
9%
31%
41%
11%
11%
14%
22%
36%
14%
14%
19%
17%
41%
10%
10%
13%
24%
43%
22%
10%
15%
9%
0 100
Deployment complete
Deployment in progress
Initial planning/testing stage
Planned, but not started
No plans to deploy
Total
Lower MORG
Core MORG
Upper MORG
Total MORG
LORG
AD deployment status - MORG/LORG W2K/W2K3
U.S., n=353
36%
9%
3%
21%
32%
33%
6%
1%
13%
47%
21%
15%
4%
32%
28%
70%
10%
0%
10%
10%
16%
9%
2%
20%
53%
57%
7%
5%
27%
6%
U.K., n=235
43%
4%
6%
18%
30%
43%
0%
0%
15%
42%
49%
5%
7%
14%
26%
0%
11%
24%
24%
41%
32%
4%
5%
15%
44%
43%
3%
12%
35%
8%
Germany, n=216
28%
7%
5%
25%
36%
31%
6%
3%
27%
33%
25%
7%
6%
23%
40%
24%
7%
4%
25%
40%
33%
9%
7%
18%
33%
Japan, n=258
NA
NA
NA
NA
NA
67%
45%
48%
30%
30%
28%
13%
13%
7%
2%
0 100
Improved manageability of our Windows network
Improved security of our Windows network
Need AD for Exchange 2000 or Exchange 2003
In progress on standard hardware upgrade cycle
Desire to consolidate directory services
Recommended by consultant or other IT partn
er
AD is used by a third-party application that we use
Other^
Don't know
Top 3 drivers for evaluation or deployment of AD
50%
54%
39%
33%
33%
25%
15%
23%
1%
4%
U.S., n=261
61%
59%
25%
28%
50%
28%
20%
8%
2%
3%
74%
56%
18%
31%
5%
34%
16%
12%
6%
3%
U.K., n=141 Germany, n=144 Japan, n=160
Upper management or
company decision to standardize
액티브디렉터리도입 통계(2)
Active Directory 도입 배경에 대한 Top 3 요소를 분석한 결과, (1) 윈도우 네트워크에 대한 관리능력 향상 (2) 윈도우 네트워크의 Security 향상 (3) Exchange 서버의 필요성 (4) 표준화를 위한정책적 판단 때문인 것으로 나타남.
Gartner/Custom Research, 2004-05
S전자는 효율적인 사용자 계정 보안, 패치 관리, 정책 관리, 자원관리, S/W관리 및 PC사용환경을관리하는 용도로 Active Directory 인프라를 구축하여 다음과 같은 효과를 얻음
효과 #6 : PC 사용환경 관리효과 #4 : 자원 관리 강화
Domain ControllerActive Directory
로그인
자동/강제 설정
정책적용
변경사항A,B,C,D…
Domain Controller(Active Directory)
S/W 서버RIS 서버SMS 서버
로그인
자동 설치정책 적용
S/W등록
Domain Controller(Active Directory)
Global Catalog
그룹#1
그룹#2
사용자
검색요청
효과 #3 : 유연한 정책 관리효과 #1 : 사용자 계정 보안
Domain Controller(Active Directory)그룹별로
개별적인정책적용 가능
정책#1정책#2
정책#3
그룹#1
그룹#2
그룹#3
Domain Controller(Active Directory)
AD 정책을 통한일괄적용 및 제한
계정생성규칙
효과 #5 : S/W 관리 강화
효과 #2 : 효과적인 패치 관리
Domain ControllerActive Directory
자동다운로드
정책적용
Microsoft
자동강제설치
패치발표
자동다운로드
SMS 배포서버
SMS 서버
모니터링패치관리
액티브디렉터리 구현사례 – S전자반도체
구 축 목 표 효 과
• 보안 사고 시 log 확인을 통한 신원확인 및 추적 성공률 100%化
• 확산 완료된 지역의 Virus 사고율Zero化
• P/W, Patch, 취약성제거 적용 100%化
• 전사 Client 관리(End to End)의 일원화
• 유무선 통합을 통한 사내 ubiquitous 환경의 기반구축
• 협력업체 연결 N/W의 보안문제 해결
LG전자는 클라이언트 관리 편리성 증대와 통합보안정책 적용을 목표로 S/W 배포, 클라이언트 표준화, 패치 업데이트, 자산관리의 인프라로서 Active Directory를 사용하여 다음과 같은 효과를얻음
액티브디렉터리 구현사례-LG전자
SC 제일은행은 통합단말 보안 시스템을 구축하는데 있어서, Active Directory를 인증/권한 관리, SSO, 데스크톱 관리, S/W 배포 관리, 패치 등 보안관리, Smart Card Logon 등을 위해 사용하여다음과 같은 효과를 얻음
액티브디렉터리 구현사례-SC 제일은행
구 축 목 표
Market Model지향 시스템
유연하고 향후확장 용이한
시스템
효율적이고편리한 관리
시스템
안정적이고신뢰성 있는
시스템
내부 환경
유지
바이러스 해킹 피해의 최소화 , 보안 사고예방
안정적인 시스템 운영 , 보안 사고 발생시신속한 대응력 제공
엔진의 자동 업데이트 , 보안 정책의 신속한적용
효율적인 사용자 관리 , 로그 분석을 통한신속한 대응책 수립
바이러스 / 해킹 피해로 인한 복구 비용의최소화
안정적인 업무 환경 제공을 통한 업무 효율성증대
효율적인
운영
비용 절감
효과
안전한 보안 시스템으로 조직의 위상 강화
신뢰성 있는 보안 시스템으로 대외적인신뢰성 확보
대외
신인도
통합 데이터 보안, 시스템 보안, 네트워크보안을 구현하여 클라이언트 컴퓨터를이용한 업무 환경을 중단 없이 유지시켜줌
솔루션의 배포, 운영, 업데이트, 운영 상태파악, 리포트 등의 기능을 수행
안전한 컴퓨팅환경의 유지
관리 솔루션을통한 편리한
관리
효 과
• 빠르고, 신뢰성 있는 프로젝트
수행을 통해 단 기간 내 사용할 수
있는 시스템을 구축
• 체계적이고 치밀한 시스템 테스트
수행
• 향후 보안정책 변화에 따른 시스템
확장 및 업무 연동이 유연하도록
시스템 구축
• 중앙 집중화된 관리 시스템
• 업무 처리 부하를 감안한
시스템 용량 산정을 통한
최적의 장비 제안
• 업무 분산, 효율화를 위한
최적의 장비 및 S/W를
적재적소에 배치
• 인증 권한관리의 근간이
되는 Active Directory의
도입을 통한 인프라 기반
제공
• PKI 인증을 사용하여 향후
Single Sign On로의
용이한 이행 가능
• Load Balancing을 통한
부하 분담 및
Clustering을 통한
시스템의 안정적 운용
환경 구축
• 행 내 Legacy 시스템과의
유기적 연계
삼성생명은 임직원을 대상으로 PC 및 사용자관리를 목적으로 네트워크, 사용자 및 컴퓨터, 관리및 보안 그리고 인벤터리 관리를 위한 Active Directory를 구축.
액티브디렉터리 구현사례-삼성생명
구 축 목 표 효 과
삼성생명 임직원의 PC 및 사용자 관리를 위한Active Directory Infrastructure 구축
네트워크 사용자 및 컴퓨터 관리 및 보안
네트워크에 분산된자원을 중앙에서 관리할 수있는Infrastructure 구축
Windows Server 2003 에서제공되는Active Directory를이용하여사용자 및컴퓨터를관리
AD를 기반으로 관리 및 보안솔루션을구축할 수있는 토대마련
Inventory
Inventory 수집을 통한 S/W, H/W 관리(with SMS)
Active Directory
보안 정책의 중앙관리
정책의 변경이나 추가 시 간편하게 모든클라이언트 PC 및 서버에 적용
중앙의 관리 모듈을 통해 효율적으로 정책을적용하고 확인이 가능
윈도우 서버의 운영에 대한 방법론 및 표준화
중앙화된 서버 관리 및 운영
관리자의 개입을 최소화 하면서 Patch를배포관리 대상 클라이언트(및 서버)의Inventory 수집 및 조회
중앙화된서버 관리
효율적인S/W 배포
무선 랜 사용을 위한 효율적인 (802.1x와같은)보안 구축
IPsec 이나 SSL 등 네트워크 패킷의 보안
이동 사용자를 위한 지원 (VPN 등)
네트워크 보안인프라 구축
임직원과 협력업체 직원을 분리하여 운영가능
유/부선 인프라 제어
변화에 유연하게대응할 수 있는
인프라
액티브디렉터리 구현사례
해외의 많은 선진 기업들이 Active Directory를 기업의 핵심 Infra.로 활용하고 있으며, 국내에도제일은행, 우리은행, 신한 /조흥은행 등을 비롯 삼성전자(반도체 부문), GM대우자동차, SK 네트웍스, 등 많은 기업들이 인프라로 AD를 사용하고 있음.
