[Knowledge] Active Directory(AD)

들어가기 전

Active Directory(AD)와 도메인 컨트롤러(DC) 그리고 AD(Active Directory) 환경에서 조직 전체의 사용자 계정을 확인할 수 있는 명령어에 대해서 알아보자

---

1. Active Directory(AD)란?

• 마이크로소프트가 만든 조직용 계정/자원 관리 시스템
• 회사·학교 같은 곳에서 사람, 컴퓨터, 프린터, 네트워크 자원을 한 곳에서 통합 관리할 수 있도록 도와줌
• AD를 운영하는 서버를 도메인 컨트롤러(DC) 라고 부름
• Active Directory의 데이터베이스 파일이 저장되는 기본 위치는, 도메인 컨트롤러(DC) 의 C:\Winodws\NTDS라는 폴더에 저장됨

1.1.  AD에서 하는 일

1) 계정 관리

• 직원(사용자) 계정 생성/삭제
• 비밀번호 정책(예: 90일 마다 변경, 복잡성 규칙) 적용
• 계정 잠금 여부 관리

2) 접속 인증

• 직원이 PC에 로그인하면, AD 서버가 "이 사람이 맞아?" 하고 비밀번호를 확인해줌 (Kerberos 인증 사용)
• 맞으면 로그인 성공, 틀릭면 로그인 거부

3) 권한 부여

• 어떤 직원은 공유폴더 A 접근 가능, 어떤 직원은 프린터 B 사용 가능 이런 권한을 중앙에서 통제함

4) 정책 배포 (그룹 정책, GPO)

• 회사 PC들에 보안정책(예: USB 차단, 암호화, 화면 잠금 5분 설정 등)을 원격으로 일괄 배포 가능

---

2. 도메인 컨트롤러(DC)란?

• AD를 돌리는 핵심 서버
• 쉽게 말해 회사 전체의 "출입명부 + 열쇠 관리실" 같은 역할
• 모든 PC와 계정은 이 서버를 통해 인증 받아야 함

---

3. 사용자 계정 목록 보여주는 Windows 명령어

net user
→ 현재 컴퓨터(로컬)의 사용자 계정 목록을 보여줌

net user /domain
→ 도메인 컨트롤러에서 관리하는 계정 목록을 보여줌
→ 즉, AD(Active Directory) 환경에서 조직 전체의 사용자 계정을 확인할 수 있음

 

• 도메인 환경이 아닐 경우 /admin 옵션을 써도 효과가 없음
• 도메인 환경에서는 로컬 계정이 아니라 AD 계정을 확인/관리할 때 필수적으로 사용

 

3.1. 도메인 환경 (회사/학교 같은 조직 네트워크)

• 회사나 학교에서는 수백, 수천 대의 컴퓨터를 관리해야 함
• 일일이 각 컴퓨터에서 계정을 만들면 번거롭기 때문에 도메인 컨트롤러라는 중앙 관리 서버를 둠
  • 모든 사용자 계정을 한 곳(서버)에 등록해 놓고
  • 직원들이 어디서 로그인해도 같은 계정을 사용할 수 있게 해줌

 

3.2. 로컬 환경 (개인 PC)

• 집에서 쓰는 내 컴퓨터 보통 혼자만 사용하는 환경이기 때문에 계정도 내 컴퓨터 안에서만 유효함

---

마무리

도메인 환경 = 조직(회사·학교) 네트워크에서 중앙 서버가 사용자 계정과 컴퓨터를 통합 관리하는 체계 그래서 net user /domain 은 그 중앙 서버에 있는 사용자 정보를 보는 명령어임