Active Directory에서 트러스트 관계는 논리적구조 내에서, 서로 다른 도메인 트리 또는 포레스트간에 신뢰성과 보안을 제공하기 위해 설정되는 연결입니다. 이 트러스트 관계는 도메인 간의 Directory Service를 확장시켜 주어 도메인 간의 사용자 인증, 리소스 공유, 보안 그룹 및 정책 공유 등을 가능하게 합니다.
트러스트 관계 종류
01. 단방향 및 양방향 트러스트 관계
트러스트 관계를 사용하여 단방향 또는 양방향으로 리소스에 액세스할 수 있습니다.
- 단방향 트러스트는 두 도메인 간에 만들어지는 단방향 인증 경로
- 양방향 트러스트는 두 도메인 간에 양방향으로 인증 요청 전달
02. 전이적 및 비전이적 트러스트 관계
전이성은 트러스트가 형성된 두 도메인의 외부로 트러스트가 확장될 수 있는 여부를 결정합니다.
- 전이적 트러스트에서는 다른 도메인과의 트러스트 관계 확장
- 비전이적 트러스트에서는 다른 도메인과의 트러스트 관계 거부
▼ 포레스트 트러스트 관계 예시
예시) 포레스트 트러스트 관계
이 예제 구성은 현재 다음과 같은 액세스를 제공합니다.
- ‘포리스트 2’의 사용자는 ‘포리스트 1’ 또는 ‘포리스트 3’의 모든 도메인에 있는 리소스에 액세스 가능
- ‘포리스트 3’의 사용자는 ‘포리스트 2’의 모든 도메인에 있는 리소스에 액세스 가능
- ‘포리스트 1’의 사용자는 ‘포리스트 2’의 모든 도메인에 있는 리소스에 액세스 가능
이 구성을 사용하면 ‘포리스트 1’의 사용자가 ‘포리스트 3’의 리소스에 액세스할 수 없으며 그 반대의 경우도 마찬가지입니다. ‘포리스트 1’과 ‘포리스트 3’의 사용자가 리소스를 공유하려면 두 포리스트 간에 양방향 전이적 트러스트를 만들어야 합니다.
글로벌 카탈로그(GC: Global Catalog)
어떤 Object에 대해 찾거나 사용하고자 할 때, 하나의 도메인에서 먼저 찾고 없다면 포레스트 내부의 다른 도메인에서도 Object에 대해 찾기 위해 하나의 공통 저장소인 글로벌 카탈로그를 구성하여 사용합니다.
- Object 속성에서 글로벌 카탈로그 옵션 선택 가능
Conclusion💡
트러스트 관계를 설정하려면 관리자 권한이 필요하며, 일반적으로 Active Directory 도구인 Active Directory 관리 센터(Active Directory Administrative Center) 또는 PowerShell을 사용하여 설정합니다. 또한 올바른 DNS 구성이 되어있는지 확인해야합니다. 트러스트 관계를 설정하면 도메인 또는 포레스트 간에 인증 및 리소스 공유가 가능해지며, 사용자 및 그룹을 다른 도메인 또는 포레스트에서도 사용할 수 있게 됩니다.
⭐️Active Directory 시리즈⭐️
[AD] Active Directory 논리적 구조와 물리적 구조
[AD] Active Directory 트러스트 관계와 글로벌 카탈로그
[AD 심화] FQDN과 복제 구성(kcc,istg,bridgehead)
[AD 심화] Tombstom lifetime과 FSMO Role
[AD 심화] Data Controller 요청 순서와 DNS(방식, DHCP,레코드)
[AD 실습] Active Directory 서버 구축과 Join(+ 명령어)
'OS > Windows' 카테고리의 다른 글
[AD 심화] Data Controller 요청 순서와 DNS(방식, DHCP,레코드) (1) | 2023.06.04 |
---|---|
[AD 심화] Tombstom lifetime과 FSMO Role (0) | 2023.06.04 |
[AD 심화] Active directory FQDN과 복제 구성(kcc,istg,bridgehead) (0) | 2023.06.04 |
[AD] Active Directory 논리적 구조와 물리적 구조 (0) | 2023.06.04 |
[AD] Active Directory 개념 및 역할 (0) | 2023.06.03 |