AD

액티브 디렉터리의 디렉토리 구조는 스키마, 구성 파티션, 도메인 파티션, 애플리케이션 파티션이라는 논리적 파티션으로 구성된다. 이 구조는 데이터를 체계적으로 저장하고 효율적으로 복제하는 데 기반이 된다.

각 파티션은 특정 유형의 데이터를 담당한다. 스키마 파티션은 디렉토리에 저장될 수 있는 모든 객체 유형(예: 사용자, 컴퓨터, 그룹)과 그 속성을 정의하는 규칙을 포함한다. 구성 파티션은 포리스트의 토폴로지 정보, 즉 도메인 컨트롤러 목록, 사이트, 서비스, 파티션 위치 등을 저장한다. 도메인 파티션은 특정 도메인에 속한 실제 객체들(사용자, 컴퓨터, 그룹 정책 등)에 대한 정보를 보관한다. 선택적으로 사용되는 애플리케이션 파티션은 주로 DNS 영역 데이터나 애플리케이션별 데이터를 저장하기 위해 활용된다.

이 파티션 구조는 다중 마스터 복제 모델과 밀접하게 연동되어 작동한다. 스키마와 구성 파티션은 포리스트 전체에 걸쳐 모든 도메인 컨트롤러로 복제된다. 반면, 도메인 파티션의 데이터는 동일한 도메인 내의 도메인 컨트롤러들 사이에서만 복제된다. 이는 네트워크 대역폭을 효율적으로 사용하고, 데이터의 일관성과 가용성을 보장하는 핵심 메커니즘이다.

도메인 서비스(Domain Services)는 액티브 디렉토리의 핵심 기능으로, 네트워크 상의 리소스와 ID 관리를 위한 중앙 집중식 서비스를 제공합니다. 이 서비스들은 도메인 컨트롤러에서 실행되며, 사용자 인증, 리소스 검색, 정책 적용 등의 작업을 처리합니다.

주요 도메인 서비스에는 다음과 같은 것들이 있습니다.

* 도메인 네임 시스템(DNS): 네트워크 내의 컴퓨터와 서비스 이름을 IP 주소로 변환합니다. 액티브 디렉토리는 도메인 내 컴퓨터와 서비스를 찾기 위해 DNS에 의존합니다.

* LDAP(Lightweight Directory Access Protocol): 디렉토리 정보를 조회하고 수정하는 데 사용되는 표준 프로토콜입니다. 클라이언트는 LDAP를 통해 액티브 디렉토리 데이터베이스에 저장된 사용자, 컴퓨터, 그룹 정보에 접근합니다.

* Kerberos 인증: 네트워크 상에서 사용자와 서비스의 신원을 안전하게 확인하는 기본 인증 프로토콜입니다. 티켓 기반 시스템을 사용하여 단일 로그온(SSO)을 가능하게 합니다.

* 그룹 정책(Group Policy): 중앙에서 사용자와 컴퓨터에 대한 설정을 정의하고 강제 적용하는 관리 프레임워크입니다. 보안 설정, 소프트웨어 배포, 스크립트 실행 등을 제어합니다.

이러한 서비스들은 상호 연동되어 작동합니다. 예를 들어, 사용자가 컴퓨터에 로그인하려고 하면 Kerberos 서비스가 인증을 처리하고, 그룹 정책 서비스는 해당 사용자와 컴퓨터에 적용될 정책을 결정하며, 애플리케이션이 네트워크 리소스를 찾을 때는 LDAP와 DNS 서비스가 활용됩니다. 이 통합된 구조는 관리 효율성을 높이고 보안 정책을 일관되게 적용하는 기반이 됩니다.

Active Directory의 보안 및 인증 체계는 도메인 내 자원에 대한 접근을 통제하는 핵심 메커니즘이다. 이는 중앙 집중식 인증과 세분화된 권한 관리를 통해 네트워크 보안을 유지한다. 주요 인증 프로토콜로는 NTLM과 Kerberos가 있으며, 특히 Kerberos 프로토콜이 표준 방식으로 널리 사용된다. 사용자가 도메인에 로그인하면 도메인 컨트롤러의 키 배포 센터로부터 TGT를 발급받고, 이를 통해 다양한 네트워크 서비스에 대한 서비스 티켓을 얻어 접근한다.

권한 관리는 액세스 제어 목록 기반으로 이루어진다. 도메인 컨트롤러에 저장된 각 객체(사용자, 컴퓨터, 그룹)에는 고유한 보안 식별자가 부여되며, 모든 자원에는 해당 자원에 대한 접근 권한을 정의한 ACL이 첨부된다. 관리자는 그룹을 활용하여 사용자 집단에 권한을 일괄적으로 할당하는 것이 일반적인 모범 사례이다.

감사 및 로깅 기능은 보안 정책 준수와 사고 대응에 필수적이다. 그룹 정책을 통해 다양한 보안 관련 이벤트(예: 로그인 성공/실패, 권한 변경, 객체 접근)의 감사를 활성화할 수 있다. 기록된 이벤트 로그는 이벤트 뷰어 도구를 통해 중앙에서 모니터링하고 분석한다. 이를 통해 비정상적인 접근 시도를 탐지하거나, 보안 정책 위반 사례를 조사할 수 있다.

도메인 컨트롤러는 Active Directory 도메인의 핵심 서버로서, 도메인에 속한 모든 사용자, 컴퓨터, 그룹 및 기타 자원에 대한 정보를 저장하고 관리하는 역할을 한다. 이 서버는 도메인에 대한 인증, 권한 부여, 정책 적용 등의 중앙 집중식 서비스를 제공하며, 도메인의 상태를 유지하는 필수 구성 요소이다. 일반적으로 하나의 도메인에는 장애 조치와 부하 분산을 위해 둘 이상의 도메인 컨트롤러가 배포된다.

도메인 컨트롤러는 Active Directory 데이터베이스를 호스팅한다. 이 데이터베이스에는 디렉터리 파티션이라고 불리는 논리적 단위로 구성된 모든 도메인 객체 정보가 저장된다. 주요 파티션으로는 도메인 내 객체를 담는 도메인 파티션, 포리스트 전체의 구성 스키마를 정의하는 스키마 파티션, 그리고 도메인 컨트롤러 위치 정보 등을 담는 구성 파티션이 있다. 도메인 컨트롤러들은 Active Directory 복제 프로토콜을 통해 이 데이터 변경 사항을 서로 동기화하여 정보의 일관성을 유지한다.

도메인 컨트롤러의 역할은 다음과 같이 구분될 수 있다.

이러한 FSMO(Flexible Single Master Operations) 역할은 특정 도메인 컨트롤러에 할당되어 특정 작업의 충돌을 방지한다. 도메인 컨트롤러는 또한 DNS 서버 역할을 함께 수행하는 경우가 많으며, 클라이언트 컴퓨터는 DNS를 통해 도메인 컨트롤러의 위치를 찾아내고 Kerberos 또는 NTLM 프로토콜을 사용한 인증을 요청한다.

Active Directory에서 관리되는 핵심 자원은 사용자 계정, 컴퓨터 계정, 그룹, 공유 폴더, 프린터 등이 있으며, 이들은 모두 객체로 표현된다. 각 객체는 속성을 가지며, 도메인 컨트롤러에 저장된 디렉토리 데이터베이스 내에서 고유한 이름(DN)으로 식별된다.

사용자 객체는 네트워크에 로그인할 수 있는 보안 주체를 나타낸다. 주요 속성으로는 로그인 ID(sAMAccountName), 표시 이름, 암호, 이메일 주소, 전화번호, 소속 그룹 등이 포함된다. 컴퓨터 객체는 도메인에 가입된 각 워크스테이션이나 서버를 나타내며, 해당 컴퓨터가 도메인에 인증받고 그룹 정책을 적용받을 수 있게 한다.

객체들은 조직 구성 단위에 논리적으로 구성되어 관리 효율성을 높인다. 예를 들어, 부서별로 OU를 생성하여 해당 부서 사용자와 컴퓨터 객체를 그룹화하면, 위임된 관리 권한 부여나 세부적인 그룹 정책 적용이 용이해진다. 다음은 주요 객체 유형과 그 설명을 나타낸 표이다.

객체 관리는 Active Directory 사용자 및 컴퓨터 콘솔이나 PowerShell cmdlet을 통해 수행된다. 관리자는 객체를 생성, 수정, 이동, 삭제할 수 있으며, 대량 작업을 위해 스크립트를 활용하기도 한다. 객체의 속성 변경은 해당 객체가 위치한 도메인 컨트롤러에서 이루어지며, 복제를 통해 포리스트 내 다른 도메인 컨트롤러들로 동기화된다.

그룹 정책은 도메인 컨트롤러에 저장된 정책 설정의 모음으로, Active Directory 환경에서 사용자와 컴퓨터에 대한 설정을 중앙에서 일괄적으로 관리하고 적용하는 핵심 메커니즘이다. 이를 통해 관리자는 보안 설정, 소프트웨어 설치, 스크립트 실행, 데스크톱 환경 제한 등 광범위한 구성을 표준화하고 자동화할 수 있다.

그룹 정책의 기본 구성 요소는 그룹 정책 객체이다. GPO는 실제 정책 설정을 담고 있는 가상 객체이며, 도메인 레벨, 사이트 레벨, 또는 특정 조직 구성 단위에 연결하여 적용 범위를 지정한다. GPO의 설정은 크게 컴퓨터 구성과 사용자 구성으로 나뉜다. 컴퓨터 구성은 운영체제 시작 시 적용되며, 사용자 구성은 사용자가 로그인할 때 적용된다. 적용 우선순위는 일반적으로 로컬 정책, 사이트, 도메인, OU 순으로, 나중에 적용되는 정책이 이전 정책을 덮어쓴다.

정책 설정의 효과적인 관리를 위해 필터링과 상속 조정 기능을 사용한다. 보안 필터링을 통해 특정 사용자나 보안 그룹에게만 GPO를 적용하거나 제외할 수 있다. 또한, OU에서 '상속 차단' 또는 '강제 적용' 옵션을 사용하여 정책 상속 흐름을 세밀하게 제어할 수 있다. 주요 관리 콘솔은 그룹 정책 관리 콘솔로, GPO의 생성, 편집, 연결 및 모니터링을 위한 통합 인터페이스를 제공한다.

도메인 설계는 Active Directory 인프라의 토대를 구축하는 단계로, 조직의 구조와 요구사항을 반영한 논리적 및 물리적 구성 요소를 계획하는 과정이다. 이 설계는 향후 확장성, 관리 효율성, 보안 및 성능에 직접적인 영향을 미친다.

설계 시 고려해야 할 핵심 요소는 다음과 같다.

가장 기본적인 결정은 포리스트와 도메인의 수를 정하는 것이다. 대부분의 중소규모 조직은 관리 복잡성을 줄이기 위해 단일 포리스트와 단일 도메인 모델을 채택한다. 다만, 법적 분리나 완전한 운영 독립성이 필요한 부서(예: 연구 개발 부서)가 있는 경우, 별도의 포리스트를 구성하여 스키마와 글로벌 카탈로그를 분리할 수 있다. 도메인 설계가 완료되면, 조직 단위를 활용하여 관리 권한을 위임하고 그룹 정책 객체를 세분화하여 적용하는 세부 구조를 설계한다. 또한, 지리적으로 분산된 네트워크 환경에서는 Active Directory 사이트 및 서비스를 구성하여 복제 트래픽을 효율적으로 관리해야 한다.

도메인 컨트롤러 설치의 첫 단계는 서버 준비이다. 설치 대상 서버는 안정적인 윈도우 서버 운영 체제를 실행해야 하며, 네트워크 설정(고정 IP 주소, DNS 구성)이 완료되어 있어야 한다. 또한, 도메인 컨트롤러가 될 서버는 Active Directory 도메인 서비스 역할을 추가해야 한다. 이 역할은 서버 관리자 도구를 통해 설치할 수 있다.

설치 과정은 역할 추가 마법사를 통해 진행된다. 마법사는 서버를 새 포리스트의 첫 번째 도메인 컨트롤러로 승격할지, 기존 도메인에 추가 도메인 컨트롤러로 조인할지를 선택하도록 요청한다. 새 포리스트를 구축하는 경우, 루트 도메인 이름(예: corp.example.com)을 지정하고 디렉토리 서비스 복원 모드 암호를 설정해야 한다. 기존 도메인에 추가하는 경우, 기존 도메인의 관리자 자격 증명과 복제할 도메인 컨트롤러를 지정한다.

설치 중 중요한 구성 요소는 다음과 같다.

설치가 완료되면 서버가 자동으로 재부팅되고, 새로운 도메인 컨트롤러로 작동하기 시작한다. 설치 후에는 Active Directory 사용자 및 컴퓨터, Active Directory 도메인 및 트러스트 등의 관리 도구를 사용하여 구성을 확인하고 세부 설정을 조정해야 한다. 또한, 시스템 상태 백업을 수행하여 향후 문제 발생 시 복구할 수 있도록 하는 것이 권장된다.

포리스트는 Active Directory에서 가장 높은 수준의 논리적 경계를 형성하는 독립적인 인스턴스이다. 하나의 포리스트는 하나 이상의 도메인 트리로 구성되며, 모든 도메인은 공통된 스키마, 구성, 글로벌 카탈로그를 공유한다. 포리스트는 보안 경계의 역할을 하며, 포리스트 내의 모든 도메인 컨트롤러는 포리스트 루트 도메인을 기반으로 한 암시적 양방향 전이적 트러스트 관계를 자동으로 형성한다. 이로 인해 포리스트 내의 모든 사용자와 컴퓨터는 자원에 대한 인증을 받을 수 있다.

도메인 트러스트는 한 도메인이 다른 도메인의 사용자를 인증할 수 있도록 하는 관계이다. 트러스트의 주요 유형은 다음과 같다.

트러스트 관계를 설계할 때는 보안 요구사항과 관리 편의성 사이의 균형을 고려해야 한다. 전이적 트러스트는 인증 경로를 단순화하지만 신뢰 범위를 넓힌다. 반면, 비전이적 트러스트는 명시적으로 설정된 두 도메인 사이로만 신뢰를 제한하여 보안을 강화할 수 있다. 포리스트 트러스트를 사용하면 조직 인수 합병 시 각 포리스트를 독립적으로 유지하면서 선택적인 자원 공유를 가능하게 한다.

도메인 컨트롤러의 Active Directory 사용자 및 컴퓨터 콘솔 또는 PowerShell을 통해 중앙 집중식으로 사용자와 그룹을 관리한다. 사용자 계정은 네트워크 리소스에 대한 접근을 허용하는 보안 주체의 기본 단위이며, 로그인 이름, 암호, 프로필 경로 등 다양한 속성을 포함한다. 컴퓨터 계정 또한 도메인에 가입된 각 시스템을 나타내는 객체로 관리된다.

관리 작업에는 계정 생성, 수정, 비활성화, 삭제가 포함된다. 효율적인 관리를 위해 사용자 계정은 조직 구성 단위에 따라 논리적으로 그룹화된다. 그룹은 사용자, 컴퓨터, 다른 그룹을 멤버로 포함할 수 있으며, 리소스에 대한 권한을 일괄적으로 부여하기 위해 사용된다. 그룹은 주요 범위에 따라 다음 세 가지 유형으로 구분된다.

일반적인 모범 사례는 "AGDLP" 또는 "AGUDLP" 전략을 따르는 것이다. 이는 사용자(Accounts)를 글로벌 그룹에, 글로벌 그룹을 도메인 로컬 그룹에 넣고, 마지막으로 도메인 로컬 그룹에 리소스에 대한 권한(Permissions)을 부여하는 방식을 의미한다. 이 방식은 권한 관리를 단순화하고 유연성을 제공한다.

사용자 계정 관리는 그룹 정책과 밀접하게 연동된다. 예를 들어, 암호 정책, 계정 잠금 정책, 로그온 시간 제한 등을 그룹 정책을 통해 일관되게 적용할 수 있다. 또한, 대량의 사용자 계정을 생성하거나 수정해야 할 경우 PowerShell 스크립트나 CSVDE, LDIFDE와 같은 명령줄 도구를 활용하여 자동화할 수 있다.

그룹 정책 관리는 도메인 컨트롤러에 저장된 그룹 정책 개체를 생성, 편집, 연결 및 모니터링하여 Active Directory 환경의 설정을 중앙에서 제어하는 과정이다. 관리자는 그룹 정책 관리 편집기를 사용하여 다양한 정책 설정을 구성한다. 이 편집기는 컴퓨터 구성과 사용자 구성으로 나뉘며, 각각 레지스트리 기반의 정책, 보안 설정, 소프트웨어 설치, 스크립트, 폴더 리디렉션 등을 정의할 수 있다.

GPO의 적용 범위는 해당 GPO가 연결된 조직 구성 단위, 도메인 또는 사이트에 의해 결정된다. 관리자는 우선 순위, 상속 차단, 강제 적용 등의 메커니즘을 통해 정책 적용 방식을 세밀하게 제어할 수 있다. 정책의 실제 적용 상태는 gpresult 명령줄 도구나 그룹 정책 결과 마법사를 사용하여 확인한다. 이를 통해 사용자나 컴퓨터에 실제로 적용된 정책 설정과 그 출처를 진단할 수 있다.

효율적인 관리를 위해 GPO는 논리적으로 설계되고 문서화되어야 한다. 너무 많은 설정을 하나의 GPO에 포함시키기보다는 기능별(예: 보안 기준, 바탕 화면 잠금, 소프트웨어 배포)로 GPO를 분리하는 것이 일반적이다. 또한 정책 변경 사항은 테스트 조직 구성 단위에 먼저 적용하여 예상치 못한 문제가 운영 환경에 영향을 미치지 않도록 해야 한다.

도메인 컨트롤러 간의 디렉터리 복제는 Active Directory의 핵심 기능이다. 이는 도메인 내 모든 컨트롤러가 사용자 계정, 암호, 그룹 정책 객체와 같은 디렉터리 데이터의 일관된 사본을 유지하도록 보장한다. 복제는 다중 마스터 모델을 사용하여 이루어진다. 즉, 하나 이상의 도메인 컨트롤러에서 변경이 발생하면, 그 변경 사항은 자동으로 동일한 도메인의 다른 모든 도메인 컨트롤러로 전파된다. 복제 토폴로지는 사이트와 사이트 링크를 기반으로 구성되며, 이를 통해 WAN 링크를 통한 트래픽을 최적화할 수 있다.

복제 상태를 모니터링하고 문제를 해결하기 위해 다양한 도구를 사용할 수 있다. 주요 도구로는 Active Directory 사이트 및 서비스 관리 스냅인이 있다. 이 도구는 복제 토폴로지를 수동으로 구성하고, 복제 연결을 확인하는 데 사용된다. 또한 Repadmin 명령줄 도구는 복제 파트너, 대기 중인 복제 요청, 복제 오류 등 복제 상태에 대한 세부적인 정보를 제공한다. Dcdiag 도구는 도메인 컨트롤러의 전반적인 상태를 진단하며, 복제 관련 문제도 검사한다.

효과적인 모니터링을 위해서는 성능 모니터를 사용하여 NTDS 객체의 카운터를 추적하는 것이 좋다. 주요 모니터링 지표에는 초당 받은/보낸 디렉터리 복제 요청 수, 복제 대기 시간, 복제 충돌 횟수 등이 포함된다. 복제 문제는 일반적으로 네트워크 연결 장애, DNS 이름 확인 실패, 잘못된 보안 권한, 또는 시간 동기화 오류에서 발생한다. 정기적인 모니터링과 도구를 활용한 사전 점검은 Active Directory 환경의 안정성과 가용성을 유지하는 데 필수적이다.

AD의 핵심 인증 프로토콜은 Kerberos이다. 이 프로토콜은 티켓 기반의 강력한 상호 인증을 제공하여, 사용자가 도메인 컨트롤러에 한 번 인증하면 특정 시간 동안 네트워크 리소스에 접근할 수 있는 티켓을 부여받는다. 이 티켓을 통해 사용자는 암호를 다시 입력하지 않고도 다양한 서버와 서비스에 접근할 수 있다. Kerberos는 중간자 공격을 방지하고 세션의 기밀성과 무결성을 보장한다.

레거시 호환성을 위해 NTLM 인증도 지원한다. NTLM은 이전 버전의 윈도우 운영 체제와의 호환성을 유지하기 위해 사용되지만, Kerberos에 비해 보안성이 낮은 것으로 평가된다. AD 환경에서는 가능한 한 Kerberos를 사용하도록 구성하는 것이 보안 모범 사례이다. NTLM은 주로 웹 애플리케이션의 통합 윈도우 인증이나 도메인에 가입되지 않은 컴퓨터의 인증 시나리오에서 사용된다.

최신 인증 보안 강화를 위해 LDAP 바인딜 때 LDAPS를 사용하거나, 스마트 카드 기반의 공개 키 기반구조 인증을 통합할 수 있다. 또한 윈도우 서버 2016 이상부터는 인증 정책과 제약 조건을 통해 특정 사용자, 그룹 또는 디바이스에 대한 인증 방법과 프로토콜을 세부적으로 제어할 수 있다.

액티브 디렉토리에서 권한 관리는 도메인 내의 리소스에 대한 접근을 제어하는 핵심 메커니즘이다. 이는 사용자, 컴퓨터, 그룹 객체에 권한을 부여하거나 제한하는 정교한 시스템을 통해 이루어진다. 권한 관리는 파일 시스템의 NTFS 권한, 공유 폴더 권한, 그리고 액티브 디렉토리 객체 자체에 대한 권한으로 구분된다. 이러한 권한은 액세스 제어 목록을 기반으로 하여, 누가 어떤 객체에 대해 어떤 작업을 수행할 수 있는지를 세밀하게 정의한다.

권한 부여의 기본 원칙은 최소 권한의 원칙이다. 사용자나 그룹은 작업을 수행하는 데 필요한 최소한의 권한만을 부여받아야 한다. 이를 효과적으로 구현하기 위해 보안 그룹을 활용한 그룹 기반 권한 관리가 표준으로 사용된다. 개별 사용자에게 직접 권한을 부여하기보다는, 사용자를 적절한 보안 그룹에 배치한 후 해당 그룹에 리소스에 대한 권한을 할당하는 방식이다. 주요 권한 구성 요소는 다음과 같다.

상속은 권한 관리의 효율성을 높이는 중요한 개념이다. 상위 폴더나 조직 구성 단위에 설정된 권한이 하위 객체들로 자동으로 전파되어 일관된 보안 정책을 유지하고 관리 부담을 줄인다. 또한, 위임 기능을 통해 특정 조직 구성 단위나 사용자 그룹에 대한 관리 권한을 다른 사용자나 그룹에게 세부적으로 위임할 수 있다. 이는 중앙 집중식 관리의 부담을 분산시키는 데 유용하다. 효과적인 권한 관리를 위해서는 정기적인 권한 감사와 검토가 필수적이며, 불필요하거나 과도한 권한을 제거해야 한다.

Active Directory의 감사 및 로깅 기능은 도메인 내에서 발생하는 보안 관련 이벤트와 시스템 변경 사항을 기록하고 모니터링하는 핵심 메커니즘이다. 이는 규정 준수 요구사항을 충족하고, 보안 위협을 탐지하며, 문제 발생 시 원인을 분석하는 데 필수적이다. 감사 정책은 그룹 정책을 통해 중앙에서 구성 및 적용되며, 기록된 이벤트 로그는 도메인 컨트롤러를 포함한 각 Windows Server의 이벤트 뷰어에서 확인할 수 있다.

주요 감사 범주는 다음과 같다.

로그는 기본적으로 보안 로그에 저장되며, 이벤트 ID, 날짜/시간, 사용자 계정, 컴퓨터 이름, 작업 결과(성공 또는 실패) 등의 상세 정보를 포함한다. 예를 들어, 반복적인 실패한 로그온 시도는 무차별 대입 공격을 나타낼 수 있으며, 권한 없는 그룹 정책 변경 시도는 내부 위협의 지표가 될 수 있다.

효율적인 로그 관리를 위해 로그의 크기와 보존 정책을 설정하여 오래된 로그가 자동으로 덮어쓰여지거나 보관되도록 해야 한다. 또한, SIEM 솔루션과 같은 중앙 집중식 로그 수집 및 분석 도구를 도입하면 여러 서버의 로그를 통합 관리하고 실시간으로 이상 징후를 탐지할 수 있다. 정기적인 로그 검토와 분석은 보안 사고 대응 시간을 단축하고, 내부 통제 강화 및 외부 감사에 대비하는 데 결정적인 역할을 한다.

Active Directory 도메인 서비스는 Microsoft Azure 클라우드의 디렉토리 서비스인 Azure Active Directory와 통합하여 하이브리드 환경을 구축할 수 있다. 이 통합은 Azure AD Connect라는 동기화 도구를 통해 이루어진다. Azure AD Connect는 온프레미스 AD의 사용자, 그룹, 연락처 정보를 Azure AD로 동기화하며, 비밀번호 해시 동기화 또는 통과 인증, 페더레이션을 포함한 다양한 인증 방법을 지원한다.

하이브리드 환경의 주요 구성 요소와 시나리오는 다음과 같다.

이 통합을 통해 조직은 Office 365, Microsoft Intune, Azure SaaS 애플리케이션과 같은 클라우드 서비스를 기존의 온프레미스 AD 자격 증명으로 안전하게 이용할 수 있다. 또한, 조건부 액세스 정책을 적용하여 특정 장치, 위치, 위험 수준에 따라 클라우드 애플리케이션 접근을 제어할 수 있다. 관리자는 하나의 콘솔에서 하이브리드 환경의 사용자 계정 생명주기와 인증 정책을 통합 관리할 수 있어 운영 효율성이 향상된다.

AD는 LDAP 프로토콜을 핵심 프로토콜로 사용하여 디렉토리 서비스를 제공한다. 이는 다양한 타 시스템과의 연동을 가능하게 하는 기반이 된다. AD의 LDAP 구현은 표준 LDAPv3을 준수하며, 포트 389(일반 LDAP)와 636(LDAPS)를 통해 서비스를 제공한다[2]. 이를 통해 유닉스, 리눅스, 맥OS 시스템이나 이메일 서버, 웹 애플리케이션 등 LDAP 클라이언트 기능을 지원하는 거의 모든 시스템이 AD의 사용자, 그룹 정보를 조회하거나 인증에 활용할 수 있다.

LDAP 연동의 일반적인 활용 사례는 다음과 같다.

AD는 페더레이션 서비스를 통해 SAML, OAuth 2.0, OpenID Connect 같은 현대적인 웹 표준 인증 프로토콜도 지원한다. 이를 통해 클라우드 기반 SaaS 애플리케이션과의 싱글 사인온(SSO)을 구현할 수 있다. 예를 들어, AD FS를 구성하면 사용자는 회사 AD 자격 증명으로 오피스 365, 세일즈포스, 슬랙 같은 서비스에 로그인할 수 있다.

또한, Microsoft Identity Manager나 타사 IDM 솔루션을 사용하면 AD와 HR 시스템, SQL 데이터베이스, 다른 LDAP 디렉토리 간의 사용자 계정 프로비저닝과 동기화를 자동화할 수 있다. 이는 중앙에서 사용자 생명주기를 관리하고 여러 시스템 간의 계정 정보 불일치를 방지하는 데 핵심적이다.