1. 범위(Scope)
Active Directory의 범위는 넓다. WAN 상의 모든 단일 개체(프린터, 파일, 사용자), 모든 서버, 모든 도메인이 한 범위에 포함될 수 있으며, 서로 결합된 여러 WAN이 포함될 수도 있다. 다음 용어 중 일부는 단일 네트워크 이상의 규모에 적용되므로, Active Directory가 하나의 컴퓨터에서 컴퓨터 네트워크로, 그리고 서로 결합된 많은 컴퓨터 네트워크로 확장될 수 있다는 사실을 염두해 두어야 한다.
2. 이름 공간(Namespace)
다른 디렉터리 서비스와 마찬가지로 Active Directory도 기본적으로 이름 공간이다. 전화 번호부도 이름 공간이다. 이름 공간은 주어진 이름을 확인할 수 있는 어떤 영역이다. 이름 확인은 이름이 나타내는 개체나 정보로 이름을 변환하는 과정이다. 전화 번호부는 전화 가입자의 이름으로 전화 번호를 얻을 수 있는 이름 공간을 형성한다. Windows 파일 시스템은 파일 이름으로 파일을 얻을 수 있는 이름 공간을 형성한다.
Active Directory는 이름 공간을 형성하며, 디렉터리에 속한 개체 이름으로 개체를 찾을 수 있게 한다.
3. 개체(Object)
개체란 서로 구별이 가능하고 특정한 이름이 부여된 속성(Attribute)들의 집합으로서 사용자, 프린터 또는 응용 프로그램과 같은 구체적인 대상을 가리킨다. 속성은 주체를 기술하는 데이터를 담고 있으며, 주체는 디렉토리 개체에 의해 식별된다. 개체가 사용자라면 속성에는 사용자의 성, 이름, 전자 메일 주소 등이 포함될 것이다.
4. 조직단위(Organizational Units : OU)
조직단위는 도메인 내에서 관리적인 경계선을 정의하는 수단이 된다. 엑티브 디렉토리 개체를 포함하고 조직화하는 OU는, 폴더와 파일들을 포함하고 조직화하는 폴더와 비슷한 개념이다.
5. 컨테이너(Container)
컨테이너는 속성을 가지고 있고 Active Directory 이름 공간의 일부분이라는 점에서 개체와 같다. 그러나 개체와는 달리, 컨테이너는 구체적인 무엇을 나타내지 않으며 개체 그룹과 다른 컨테이너를 담는 그릇 역할을 한다.
6. 트리(Tree)
트리라는 용어는 이 문서 전반에 걸쳐서 개체 및 컨테이너의 계층 구조를 기술하기 위해 사용된다. 일반적으로 트리의 종점은 개체이고 노드(트리의 분기점)는 컨테이너이다. 트리는 개체들의 연결 상태나 개체 간의 경로를 나타낸다. 단순한 디렉토리도 컨테이너이고 컴퓨터 네트워크나 도메인도 컨테이너이다. 연속 하위 트리는 트리에서 중단 없이 계속 이어지는 경로로서 해당 경로 내의 모든 컨테이너 구성원도 포함된다.
7. 명명 컨텍스트(Naming Context)와 파티션(Partition)
Active Directory는 하나 이상의 명명 컨텍스트 또는 파티션으로 구성된다. 명명 컨텍스트는 디렉터리의 연속 하위 트리이고 복제의 단위이다. Active Directory에서 하나의 서버는 언제나 세 개 이상의 명명 컨텍스트를 갖는다.
A. 스키마
B. 구성(복제 토폴로지 및 관련 메타데이터)
C. 하나 이상의 사용자 명명 컨텍스트(디렉터리 내의 실제 개체를 포함하는담고 있는 하위 트리)
8. 도메인(Domain)
도메인은 엑티브 디렉토리의 논리적 구조에서 핵심적인 단위이다. 도메인은 도메인 이름 내의 서버들과 네트워크 자원들의 논리적인 그룹이다. 이론적으로 하나의 도메인은 천만 개까지의 개체들을 포함할 수 있지만, 실용적으로는 백만 개까지의 개체들을 포함할 수 있다(참고로 윈도우NT 4.0에서는 도메인 당 약 25,000개의 계정들을 실용적으로 포함할 수 있었다).
도메인은 Windows NT 또는 Windows 2000 컴퓨터 네트워크의 보안 경계이다. 도메인의 관리자는 다른 도메인에 대한 허가와 권한을 구체적으로 부여받지 않는 이상, 단지 해당 도메인 내에서만 관리작업을 수행할 수 있는 허가와 권한을 부여받는다. 윈도우NT에서의 도메인은 윈도우2000에서는 OU로 격하되는 경우가 많다는 사실에 유의하여야 할 것이다.
윈도우2000의 도메인 이름은 기본적으로 DNS에 기반한 도메인 이름 부여모델을 구현했다. 윈도우2000의 도메인 이름은 기본적으로 DNS 이름에 대응되며, 이것을 확장한 것이다. 윈도우2000의 도메인 이름의 예를 들면, support.mcpserver.co.kr과 같다.
Active Directory는 하나 이상의 도메인으로 구성된다. 독립형 워크스테이션인 경우, 도메인은 그 컴퓨터 자체이다. 도메인은 하나 이상의 실제 장소로 확대될 수 있다. 모든 도메인은 고유의 보안 정책을 가지고 있으며 다른 도메인과 보안 관계를 갖는다.
9. 도메인 트리(Trees)
도메인 트리(또는 트리)는 스키마, 구성을 공유하는 여러 도메인으로 구성되며 연속 이름 공간을 형성한다. 또한 한 트리 내의 도메인들은 트러스트 관계에 의해 서로 연결된다. Active Directory는 하나 이상의 트리의 모음이다.
트리는 두 가지 측면에서 볼 수 있다. 하나는 도메인 간의 트러스트 관계로 보는 것이고, 다른 하나는 도메인 트리의 이름 공간으로 보는 것이다.
A. 트러스트 관계(Trust Relationship)로 보기
각각의 도메인과 이들 간의 트러스트 방법에 기반하여 도메인 트리를 그릴 수 있다. Windows 2000은 Kerberos 보안 프로토콜에 기반하여 도메인 간의 트러스트 관계를 수립한다. Kerberos 트러스트는 전이적이고 계층적이기 때문에, 만약 도메인 A가 도메인 B를 트러스트하고 도메인 B가 도메인 C를 트러스트하면, 도메인 A도 도메인 C를 트러스트하게 된다.
B. 이름 공간으로 보기
이름 공간에 기반하여 도메인 트리를 그릴 수도 있다. 도메인 트리의 이름 공간을 따라 경로를 거슬러 올라가면 개체의 전체 이름을 얻을 수 있다. 이러한 방식으로 트리를 보는 것은 개체들을 논리 계층 구조로 그룹화하는 데 도움이 된다. 연속 이름 공간의 주요 이점은 이름 공간의 루트에서 심층 검색을 수행하면 전체 계층 구조를 검색할 수 있다는 것입니다.
10. 포리스트(Forests)
포리스트는 연속 이름 공간을 형성하지 않는 하나 이상의 트리의 모음이다. 포리스트 내의 모든 트리는 스키마, 구성, 글로벌 카탈로그를 공유한다. 주어진 포리스트 내의 모든 트리는 전이적이고 계층적인 Kerberos 트러스트 관계를 통해 서로를 트러스트한다. 트리와 달리 포리스트에는 고유의 이름이 필요하지 않는다. 포리스트는 상호 참조 개체 모음 및 구성원 트리에 알려진 Kerberos 트러스트 관계로 존재한다. 포리스트 내의 트리들은 Kerberos 트러스트와 관련해서 계층 구조를 형성하므로, 트러스트 트리의 루트에 있는 트리 이름으로 그 포리스트를 표현할 수 있다.
11. 사이트(Site)
사이트 는 네트워크에서 Active Directory 서버가 있는 위치다. 사이트는 잘 연결된 하나 또는 그 이상의 TCP/IP 서브넷으로 정의된다. "잘 연결"되어 있다는 것은 네트워크 연결의 안정성이 높고 속도가 빠르다는 것이다(예: 10Mbps 이상의 LAN 속도). 사이트가 서브넷 모음으로 정의되기 때문에, 관리자는 실제 네트워크를 이용하여 빠르고 쉽게 Active Directory 액세스 및 복제 토폴로지를 구성할 수 있다. 사용자가 로그온하면 Active Directory 클라이언트는 사용자와 동일한 사이트에서 Active Directory 서버를 찾는다. 네트워크 개념에서 동일한 사이트에 있는 컴퓨터들은 서로 가깝기 때문에, 이들 사이의 통신은 안정적이고 빠르며 효율적이다. 로그온할 때 로컬 사이트를 찾는 작업은 어렵지 않다. 사용자의 워크스테이션이 자신이 속해 있는 TCP/IP 서브넷을 이미 알고 있고 서브넷이 Active Directory 사이트로 바로 변환되기 때문이다.
Active Directory의 범위는 넓다. WAN 상의 모든 단일 개체(프린터, 파일, 사용자), 모든 서버, 모든 도메인이 한 범위에 포함될 수 있으며, 서로 결합된 여러 WAN이 포함될 수도 있다. 다음 용어 중 일부는 단일 네트워크 이상의 규모에 적용되므로, Active Directory가 하나의 컴퓨터에서 컴퓨터 네트워크로, 그리고 서로 결합된 많은 컴퓨터 네트워크로 확장될 수 있다는 사실을 염두해 두어야 한다.
2. 이름 공간(Namespace)
다른 디렉터리 서비스와 마찬가지로 Active Directory도 기본적으로 이름 공간이다. 전화 번호부도 이름 공간이다. 이름 공간은 주어진 이름을 확인할 수 있는 어떤 영역이다. 이름 확인은 이름이 나타내는 개체나 정보로 이름을 변환하는 과정이다. 전화 번호부는 전화 가입자의 이름으로 전화 번호를 얻을 수 있는 이름 공간을 형성한다. Windows 파일 시스템은 파일 이름으로 파일을 얻을 수 있는 이름 공간을 형성한다.
Active Directory는 이름 공간을 형성하며, 디렉터리에 속한 개체 이름으로 개체를 찾을 수 있게 한다.
3. 개체(Object)
개체란 서로 구별이 가능하고 특정한 이름이 부여된 속성(Attribute)들의 집합으로서 사용자, 프린터 또는 응용 프로그램과 같은 구체적인 대상을 가리킨다. 속성은 주체를 기술하는 데이터를 담고 있으며, 주체는 디렉토리 개체에 의해 식별된다. 개체가 사용자라면 속성에는 사용자의 성, 이름, 전자 메일 주소 등이 포함될 것이다.
4. 조직단위(Organizational Units : OU)
조직단위는 도메인 내에서 관리적인 경계선을 정의하는 수단이 된다. 엑티브 디렉토리 개체를 포함하고 조직화하는 OU는, 폴더와 파일들을 포함하고 조직화하는 폴더와 비슷한 개념이다.
5. 컨테이너(Container)
컨테이너는 속성을 가지고 있고 Active Directory 이름 공간의 일부분이라는 점에서 개체와 같다. 그러나 개체와는 달리, 컨테이너는 구체적인 무엇을 나타내지 않으며 개체 그룹과 다른 컨테이너를 담는 그릇 역할을 한다.
6. 트리(Tree)
트리라는 용어는 이 문서 전반에 걸쳐서 개체 및 컨테이너의 계층 구조를 기술하기 위해 사용된다. 일반적으로 트리의 종점은 개체이고 노드(트리의 분기점)는 컨테이너이다. 트리는 개체들의 연결 상태나 개체 간의 경로를 나타낸다. 단순한 디렉토리도 컨테이너이고 컴퓨터 네트워크나 도메인도 컨테이너이다. 연속 하위 트리는 트리에서 중단 없이 계속 이어지는 경로로서 해당 경로 내의 모든 컨테이너 구성원도 포함된다.
7. 명명 컨텍스트(Naming Context)와 파티션(Partition)
Active Directory는 하나 이상의 명명 컨텍스트 또는 파티션으로 구성된다. 명명 컨텍스트는 디렉터리의 연속 하위 트리이고 복제의 단위이다. Active Directory에서 하나의 서버는 언제나 세 개 이상의 명명 컨텍스트를 갖는다.
A. 스키마
B. 구성(복제 토폴로지 및 관련 메타데이터)
C. 하나 이상의 사용자 명명 컨텍스트(디렉터리 내의 실제 개체를 포함하는담고 있는 하위 트리)
8. 도메인(Domain)
도메인은 엑티브 디렉토리의 논리적 구조에서 핵심적인 단위이다. 도메인은 도메인 이름 내의 서버들과 네트워크 자원들의 논리적인 그룹이다. 이론적으로 하나의 도메인은 천만 개까지의 개체들을 포함할 수 있지만, 실용적으로는 백만 개까지의 개체들을 포함할 수 있다(참고로 윈도우NT 4.0에서는 도메인 당 약 25,000개의 계정들을 실용적으로 포함할 수 있었다).
도메인은 Windows NT 또는 Windows 2000 컴퓨터 네트워크의 보안 경계이다. 도메인의 관리자는 다른 도메인에 대한 허가와 권한을 구체적으로 부여받지 않는 이상, 단지 해당 도메인 내에서만 관리작업을 수행할 수 있는 허가와 권한을 부여받는다. 윈도우NT에서의 도메인은 윈도우2000에서는 OU로 격하되는 경우가 많다는 사실에 유의하여야 할 것이다.
윈도우2000의 도메인 이름은 기본적으로 DNS에 기반한 도메인 이름 부여모델을 구현했다. 윈도우2000의 도메인 이름은 기본적으로 DNS 이름에 대응되며, 이것을 확장한 것이다. 윈도우2000의 도메인 이름의 예를 들면, support.mcpserver.co.kr과 같다.
Active Directory는 하나 이상의 도메인으로 구성된다. 독립형 워크스테이션인 경우, 도메인은 그 컴퓨터 자체이다. 도메인은 하나 이상의 실제 장소로 확대될 수 있다. 모든 도메인은 고유의 보안 정책을 가지고 있으며 다른 도메인과 보안 관계를 갖는다.
9. 도메인 트리(Trees)
도메인 트리(또는 트리)는 스키마, 구성을 공유하는 여러 도메인으로 구성되며 연속 이름 공간을 형성한다. 또한 한 트리 내의 도메인들은 트러스트 관계에 의해 서로 연결된다. Active Directory는 하나 이상의 트리의 모음이다.
트리는 두 가지 측면에서 볼 수 있다. 하나는 도메인 간의 트러스트 관계로 보는 것이고, 다른 하나는 도메인 트리의 이름 공간으로 보는 것이다.
A. 트러스트 관계(Trust Relationship)로 보기
각각의 도메인과 이들 간의 트러스트 방법에 기반하여 도메인 트리를 그릴 수 있다. Windows 2000은 Kerberos 보안 프로토콜에 기반하여 도메인 간의 트러스트 관계를 수립한다. Kerberos 트러스트는 전이적이고 계층적이기 때문에, 만약 도메인 A가 도메인 B를 트러스트하고 도메인 B가 도메인 C를 트러스트하면, 도메인 A도 도메인 C를 트러스트하게 된다.
B. 이름 공간으로 보기
이름 공간에 기반하여 도메인 트리를 그릴 수도 있다. 도메인 트리의 이름 공간을 따라 경로를 거슬러 올라가면 개체의 전체 이름을 얻을 수 있다. 이러한 방식으로 트리를 보는 것은 개체들을 논리 계층 구조로 그룹화하는 데 도움이 된다. 연속 이름 공간의 주요 이점은 이름 공간의 루트에서 심층 검색을 수행하면 전체 계층 구조를 검색할 수 있다는 것입니다.
10. 포리스트(Forests)
포리스트는 연속 이름 공간을 형성하지 않는 하나 이상의 트리의 모음이다. 포리스트 내의 모든 트리는 스키마, 구성, 글로벌 카탈로그를 공유한다. 주어진 포리스트 내의 모든 트리는 전이적이고 계층적인 Kerberos 트러스트 관계를 통해 서로를 트러스트한다. 트리와 달리 포리스트에는 고유의 이름이 필요하지 않는다. 포리스트는 상호 참조 개체 모음 및 구성원 트리에 알려진 Kerberos 트러스트 관계로 존재한다. 포리스트 내의 트리들은 Kerberos 트러스트와 관련해서 계층 구조를 형성하므로, 트러스트 트리의 루트에 있는 트리 이름으로 그 포리스트를 표현할 수 있다.
11. 사이트(Site)
사이트 는 네트워크에서 Active Directory 서버가 있는 위치다. 사이트는 잘 연결된 하나 또는 그 이상의 TCP/IP 서브넷으로 정의된다. "잘 연결"되어 있다는 것은 네트워크 연결의 안정성이 높고 속도가 빠르다는 것이다(예: 10Mbps 이상의 LAN 속도). 사이트가 서브넷 모음으로 정의되기 때문에, 관리자는 실제 네트워크를 이용하여 빠르고 쉽게 Active Directory 액세스 및 복제 토폴로지를 구성할 수 있다. 사용자가 로그온하면 Active Directory 클라이언트는 사용자와 동일한 사이트에서 Active Directory 서버를 찾는다. 네트워크 개념에서 동일한 사이트에 있는 컴퓨터들은 서로 가깝기 때문에, 이들 사이의 통신은 안정적이고 빠르며 효율적이다. 로그온할 때 로컬 사이트를 찾는 작업은 어렵지 않다. 사용자의 워크스테이션이 자신이 속해 있는 TCP/IP 서브넷을 이미 알고 있고 서브넷이 Active Directory 사이트로 바로 변환되기 때문이다.