포리스트 디자인 모델에 디자인 요구 사항 매핑

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

조직의 대부분 그룹은 단일 IT (정보 기술) 그룹에서 관리 하 고 포리스트를 공유 하는 모든 그룹에 대 한 사용자 계정 및 리소스를 포함 하는 단일 조직 포리스트를 공유할 수 있습니다. 초기 조직 포리스트 라는이 공유 포리스트는 조직의 포리스트 디자인 모델을 기반으로 합니다.

초기 조직 포리스트는 조직에서 여러 그룹을 호스트할 수 있으므로 모든 당사자가 예상 되는 것을 이해할 수 있도록 포리스트 소유자는 각 그룹에 대해 서비스 수준 계약을 설정 해야 합니다. 그러면 합의 된 서비스 기대치를 설정 하 여 개별 그룹과 포리스트 소유자를 모두 보호할 있습니다.

조직의 모든 그룹이 단일 조직 포리스트를 공유할 수 없는 경우 포리스트 디자인을 확장 하 여 다른 그룹의 요구 사항을 충족 해야 합니다. 여기에는 자율성 및 격리 요구 사항에 따라 그룹에 적용 되는 디자인 요구 사항과 제한 된 연결 네트워크가 있는지 여부를 확인 한 다음, 이러한 요구 사항을 수용 하는 데 사용할 수 있는 포리스트 모델을 식별 하는 작업이 포함 됩니다. 다음 표에서는 자치, 격리 및 연결 요인을 기반으로 하는 포리스트 디자인 모델 시나리오를 나열 합니다. 요구 사항에 가장 적합 한 포리스트 디자인 시나리오를 확인 한 후에는 디자인 사양을 충족 하기 위해 추가 결정을 내려야 하는지 결정 해야 합니다.

참고

요소가 N/A로 표시 되는 경우에는 다른 요구 사항이 해당 요소에도 영향을 주므로 고려 하지 않습니다.

시나리오 제한 된 연결 데이터 격리 데이터 자율성 서비스 격리 서비스 자치
시나리오 1: 데이터 자율성을 위해 기존 포리스트 조인 아니요 아니요 아니요 아니요
시나리오 2: 조직 포리스트 또는 도메인을 사용 하 여 서비스 자율성 아니요 아니요 해당 없음 아니요
시나리오 3: 서비스 격리를 위해 조직 포리스트 또는 리소스 포리스트 사용 아니요 아니요 해당 없음 해당 없음
시나리오 4: 데이터 격리를 위해 조직 포리스트 또는 제한 된 액세스 포리스트 사용 해당 없음 해당 없음 N/A N/A
시나리오 5: 조직 포리스트 사용 또는 제한 된 연결에 대 한 방화벽 다시 구성 아니요 해당 없음 아니요 아니요
시나리오 6: 조직 포리스트 또는 도메인을 사용 하 고 제한 된 연결로 서비스 자율성을 위한 방화벽 다시 구성 아니요 해당 없음 아니요
시나리오 7: 리소스 포리스트를 사용 하 고 제한 된 연결로 서비스 격리를 위해 방화벽 다시 구성 아니요 해당 없음 해당 없음

시나리오 1: 데이터 자율성을 위해 기존 포리스트 조인

단순히 기존 조직 포리스트의 Ou (조직 구성 단위)에서 그룹을 호스팅하여 데이터 자율성 요구 사항을 충족할 수 있습니다. Ou에 대 한 제어를 해당 그룹의 데이터 관리자에 게 위임 하 여 데이터 자율성을 달성할 수 있습니다. Ou를 사용 하 여 제어를 위임 하는 방법에 대 한 자세한 내용은 조직 구성 단위 디자인 만들기를 참조 하세요.

시나리오 2: 조직 포리스트 또는 도메인을 사용 하 여 서비스 자율성

조직의 그룹에서 서비스 자율성을 요구 사항으로 식별 하는 경우 먼저이 요구 사항을 고려 하는 것이 좋습니다. 서비스 자율성을 달성 하면 더 많은 관리 오버 헤드와 조직에 대 한 추가 비용이 생성 됩니다. 서비스 자율성 요구 사항이 단지 편의를 위한 것이 아니며,이 요구 사항을 충족 하는 데 드는 비용을 정당화할 수 있는지 확인 합니다.

다음 중 하나를 수행 하 여 서비스 자율성 요구 사항을 충족할 수 있습니다.

  • 조직 포리스트 만들기 서비스 자율성이 필요한 그룹에 대 한 사용자, 그룹 및 컴퓨터를 별도의 조직 포리스트에 저장 합니다. 해당 그룹의 개별를 포리스트 소유자가 되도록 할당 합니다. 그룹이 조직의 다른 포리스트와 리소스에 액세스 하거나 해당 리소스를 공유 해야 하는 경우 조직 포리스트와 다른 포리스트 간에 트러스트를 설정할 수 있습니다.

  • 조직 도메인 사용. 사용자, 그룹 및 컴퓨터를 기존 조직 포리스트의 별도 도메인에 저장 합니다. 이 모델은 도메인 수준 서비스 자율성을 위한 것 이며 전체 서비스 자율성, 서비스 격리 또는 데이터 격리에는 제공 되지 않습니다.

조직 도메인을 사용 하는 방법에 대 한 자세한 내용은 조직 도메인 포리스트 모델 사용을 참조 하세요.

시나리오 3: 서비스 격리를 위해 조직 포리스트 또는 리소스 포리스트 사용

다음 중 하나를 수행 하 여 서비스 격리를 위한 요구 사항을 충족할 수 있습니다.

  • 조직 포리스트 사용 서비스 격리가 필요한 그룹의 사용자, 그룹 및 컴퓨터를 별도의 조직 포리스트에 저장 합니다. 해당 그룹의 개별를 포리스트 소유자가 되도록 할당 합니다. 그룹이 조직의 다른 포리스트와 리소스에 액세스 하거나 해당 리소스를 공유 해야 하는 경우 조직 포리스트와 다른 포리스트 간에 트러스트를 설정할 수 있습니다. 그러나 유니버설 그룹을 통한 리소스 액세스는 포리스트 트러스트 시나리오에서 크게 제한 되기 때문에이 방법은 사용 하지 않는 것이 좋습니다.

  • 리소스 포리스트를 사용 합니다. 기존 조직 포리스트에 사용자 계정을 유지 하면서 리소스와 서비스 계정을 별도의 리소스 포리스트에 넣습니다. 필요한 경우 조직 포리스트를 사용할 수 없는 경우 리소스 포리스트의 리소스에 액세스할 수 있도록 리소스 포리스트에서 대체 계정을 만들 수 있습니다. 대체 계정에는 조직 포리스트가 다시 온라인 상태가 될 때까지 리소스 포리스트에 로그온 하 고 리소스에 대 한 제어를 유지 하는 데 필요한 권한이 있어야 합니다.

    사용자가 일반 사용자 계정을 사용 하 여 포리스트의 리소스에 액세스할 수 있도록 리소스와 조직 포리스트 간의 트러스트를 설정 합니다. 이 구성을 통해 사용자 계정을 중앙에서 관리할 수 있으며, 조직 포리스트를 사용할 수 없게 되 면 사용자가 리소스 포리스트의 대체 계정으로 대체할 수 있습니다.

서비스 격리에 대 한 고려 사항은 다음과 같습니다.

  • 서비스 격리를 위해 만든 포리스트는 다른 포리스트의 도메인을 신뢰 하지만 해당 서비스 관리자 그룹에 다른 포리스트의 사용자를 포함 해서는 안 됩니다. 다른 포리스트의 사용자가 격리 된 포리스트의 관리 그룹에 포함 되어 있는 경우 포리스트의 서비스 관리자에 게는 독점적인 제어가 없기 때문에 격리 된 포리스트의 보안이 손상 될 수 있습니다.

  • 네트워크에서 도메인 컨트롤러에 액세스할 수 있으면 해당 네트워크에 있는 악성 소프트웨어의 공격 (예: 서비스 거부 공격)이 발생 합니다. 공격 가능성을 방지 하기 위해 다음 작업을 수행할 수 있습니다.

    • 보안 된 것으로 간주 되는 네트워크 에서만 도메인 컨트롤러를 호스트 합니다.

    • 도메인 컨트롤러를 호스팅하는 네트워크 또는 네트워크에 대 한 액세스를 제한 합니다.

  • 서비스를 격리 하려면 추가 포리스트를 만들어야 합니다. 추가 포리스트를 지 원하는 인프라를 유지 관리 하는 비용이 조직 포리스트를 사용할 수 없기 때문에 리소스에 대 한 액세스 손실과 관련 된 비용을 초과 하는지 여부를 평가 합니다.

시나리오 4: 데이터 격리를 위해 조직 포리스트 또는 제한 된 액세스 포리스트 사용

다음 중 하나를 수행 하 여 데이터 격리를 달성할 수 있습니다.

  • 조직 포리스트 사용 데이터 격리를 필요로 하는 그룹에 대 한 사용자, 그룹 및 컴퓨터를 별도의 조직 포리스트에 저장 합니다. 해당 그룹의 개별를 포리스트 소유자가 되도록 할당 합니다. 그룹이 조직의 다른 포리스트와 리소스에 액세스 하거나 공유 해야 하는 경우에는 조직 포리스트와 다른 포리스트 간에 트러스트를 설정 합니다. 분류 된 정보에 액세스 해야 하는 사용자만 새 조직 포리스트에 존재 합니다. 사용자는 트러스트 관계를 사용 하 여 고유한 포리스트의 분류 된 데이터와 다른 포리스트의 미분류 데이터에 액세스 하는 데 사용 하는 하나의 계정을 가집니다.

  • 제한 된 액세스 포리스트 사용 이는 제한 된 데이터와 해당 데이터에 액세스 하는 데 사용 되는 사용자 계정을 포함 하는 별도의 포리스트입니다. 별도의 사용자 계정은 네트워크에서 무제한 리소스에 액세스 하는 데 사용 되는 기존 조직 포리스트에서 유지 관리 됩니다. 제한 된 액세스 포리스트와 엔터프라이즈의 다른 포리스트 간에 트러스트가 생성 되지 않습니다. 다른 포리스트에 연결할 수 없도록 별도의 실제 네트워크에 포리스트를 배포 하 여 포리스트를 추가로 제한할 수 있습니다. 별도의 네트워크에 포리스트를 배포 하는 경우 사용자에 게는 제한 된 포리스트에 액세스 하기 위한 워크스테이션과 네트워크의 제한 되지 않은 영역에 액세스 하는 두 개의 워크스테이션이 있어야 합니다.

데이터 격리를 위해 포리스트를 만들 때 고려해 야 할 사항은 다음과 같습니다.

  • 데이터 격리를 위해 만든 조직 포리스트는 다른 포리스트의 도메인을 신뢰 하지만 다른 포리스트의 사용자는 다음 중 하나에 포함 되지 않아야 합니다.

    • 서비스 관리자 그룹의 멤버 자격을 관리할 수 있는 그룹 또는 서비스 관리를 담당 하는 그룹

    • 보호 된 데이터를 저장 하는 컴퓨터에 대 한 관리 제어 권한이 있는 그룹

    • 보호 된 데이터에 대 한 액세스 권한이 있는 그룹 또는 보호 된 데이터에 대 한 액세스 권한이 있는 사용자 개체 또는 그룹 개체의 관리를 담당 하는 그룹

      다른 포리스트의 사용자가 이러한 그룹에 포함 되어 있으면 다른 포리스트의 손상으로 인해 격리 된 포리스트가 손상 되어 보호 된 데이터가 노출 될 수 있습니다.

  • 다른 포리스트는 격리 된 포리스트의 사용자가 다른 포리스트의 리소스에 액세스할 수 있도록 데이터 격리를 위해 만든 조직 포리스트를 신뢰 하도록 구성할 수 있습니다. 그러나 isolated 포리스트의 사용자는 트러스팅 포리스트의 워크스테이션에 대화형으로 로그온 해서는 안 됩니다. 트러스팅 포리스트의 컴퓨터는 악성 소프트웨어로 잠재적으로 손상 될 수 있으며 사용자의 로그온 자격 증명을 캡처하는 데 사용할 수 있습니다.

    참고

    트러스팅 포리스트의 서버에서 격리 된 포리스트의 사용자를 가장 하지 않고 격리 된 포리스트의 리소스에 액세스 하는 것을 방지 하려면 포리스트 소유자가 위임 된 인증을 사용 하지 않도록 설정 하거나 제한 된 위임 기능을 사용할 수 있습니다. 위임 된 인증 및 제한 된 위임에 대 한 자세한 내용은 인증 위임을 참조 하세요.

  • 조직 포리스트 외부의 정보에 대 한 사용자 액세스를 제한 하기 위해 조직 포리스트와 조직의 다른 포리스트 간에 방화벽을 설정 해야 할 수도 있습니다.

  • 별도의 포리스트를 만들면 격리 된 포리스트의 도메인 컨트롤러와 보호 된 정보를 호스트 하는 컴퓨터에 네트워크에서 액세스할 수 있는 한, 네트워크에 있는 컴퓨터에서 공격이 시작 되는 한 데이터 격리가 가능 합니다. 공격 위험이 너무 높고 공격 또는 보안 위반의 결과로 도메인 컨트롤러 및 보호 된 데이터를 호스팅하는 컴퓨터를 호스트 하는 네트워크에 대 한 액세스를 제한 해야 하는 경우를 결정 하는 조직입니다. 방화벽 및 IPsec (인터넷 프로토콜 보안)과 같은 기술을 사용 하 여 액세스를 제한할 수 있습니다. 극단적인 경우 조직은 조직의 다른 네트워크에 물리적으로 연결 되어 있지 않은 독립 네트워크에서 보호 된 데이터를 유지 하도록 선택할 수 있습니다.

    참고

    제한 된 액세스 포리스트와 다른 네트워크 간에 네트워크 연결이 존재 하는 경우 제한 된 영역의 데이터를 다른 네트워크로 전송할 가능성이 있습니다.

시나리오 5: 조직 포리스트 사용 또는 제한 된 연결에 대 한 방화벽 다시 구성

제한 된 연결 요구 사항을 충족 하기 위해 다음 중 하나를 수행할 수 있습니다.

  • 사용자를 기존 조직 포리스트에 배치한 다음 Active Directory 트래픽이 통과할 수 있도록 방화벽을 엽니다.

  • 조직 포리스트를 사용 합니다. 연결이 별도의 조직 포리스트로 제한 되는 그룹에 대 한 사용자, 그룹 및 컴퓨터를 추가 합니다. 해당 그룹의 개별를 포리스트 소유자가 되도록 할당 합니다. 조직 포리스트는 방화벽의 다른 쪽에서 별도의 환경을 제공 합니다. 포리스트는 사용자 계정 및 포리스트 내에서 관리 되는 리소스를 포함 하 여 사용자가 일상 작업을 수행 하기 위해 방화벽을 통과할 필요가 없도록 합니다. 특정 사용자 또는 응용 프로그램에는 다른 포리스트에 연결 하기 위해 방화벽을 통과 하는 기능이 필요한 특별 한 요구 사항이 있을 수 있습니다. 모든 트러스트가 작동 하는 데 필요한 것을 포함 하 여 방화벽에서 적절 한 인터페이스를 열어서 이러한 요구 사항을 개별적으로 해결할 수 있습니다.

Active Directory Domain Services (AD DS)와 함께 사용 하도록 방화벽을 구성 하는 방법에 대 한 자세한 내용은 방화벽으로 분할 된 네트워크의 Active Directory를 참조 하세요.

시나리오 6: 조직 포리스트 또는 도메인을 사용 하 고 제한 된 연결로 서비스 자율성을 위한 방화벽 다시 구성

조직의 그룹에서 서비스 자율성을 요구 사항으로 식별 하는 경우 먼저이 요구 사항을 고려 하는 것이 좋습니다. 서비스 자율성을 달성 하면 더 많은 관리 오버 헤드와 조직에 대 한 추가 비용이 생성 됩니다. 서비스 자율성 요구 사항이 단지 편의를 위한 것이 아니며,이 요구 사항을 충족 하는 데 드는 비용을 정당화할 수 있는지 확인 합니다.

제한 된 연결이 문제가 되 고 서비스 자율성을 요구 하는 경우 다음 중 하나를 수행할 수 있습니다.

  • 조직 포리스트를 사용 합니다. 서비스 자율성이 필요한 그룹에 대 한 사용자, 그룹 및 컴퓨터를 별도의 조직 포리스트에 저장 합니다. 해당 그룹의 개별를 포리스트 소유자가 되도록 할당 합니다. 조직 포리스트는 방화벽의 다른 쪽에서 별도의 환경을 제공 합니다. 포리스트는 사용자 계정 및 포리스트 내에서 관리 되는 리소스를 포함 하 여 사용자가 일상 작업을 수행 하기 위해 방화벽을 통과할 필요가 없도록 합니다. 특정 사용자 또는 응용 프로그램에는 다른 포리스트에 연결 하기 위해 방화벽을 통과 하는 기능이 필요한 특별 한 요구 사항이 있을 수 있습니다. 모든 트러스트가 작동 하는 데 필요한 것을 포함 하 여 방화벽에서 적절 한 인터페이스를 열어서 이러한 요구 사항을 개별적으로 해결할 수 있습니다.

  • 사용자, 그룹 및 컴퓨터를 기존 조직 포리스트의 별도 도메인에 저장 합니다. 이 모델은 도메인 수준 서비스 자율성을 위한 것 이며 전체 서비스 자율성, 서비스 격리 또는 데이터 격리에는 제공 되지 않습니다. 포리스트의 다른 그룹은 새 도메인의 서비스 관리자가 포리스트 소유자를 신뢰 하는 것과 동일한 수준으로 신뢰 해야 합니다. 이러한 이유로이 방법은 사용 하지 않는 것이 좋습니다. 조직 도메인을 사용 하는 방법에 대 한 자세한 내용은 조직 도메인 포리스트 모델 사용을 참조 하세요.

또한 Active Directory 트래픽이 통과할 수 있도록 방화벽을 열어야 합니다. AD DS에서 사용 하도록 방화벽을 구성 하는 방법에 대 한 자세한 내용은 방화벽으로 분할 된 네트워크의 Active Directory를 참조 하세요.

시나리오 7: 리소스 포리스트를 사용 하 고 제한 된 연결로 서비스 격리를 위해 방화벽 다시 구성

제한 된 연결이 문제가 되 고 서비스 격리에 대 한 요구 사항이 있는 경우 다음 중 하나를 수행할 수 있습니다.

  • 조직 포리스트를 사용 합니다. 서비스 격리가 필요한 그룹의 사용자, 그룹 및 컴퓨터를 별도의 조직 포리스트에 저장 합니다. 해당 그룹의 개별를 포리스트 소유자가 되도록 할당 합니다. 조직 포리스트는 방화벽의 다른 쪽에서 별도의 환경을 제공 합니다. 포리스트는 사용자 계정 및 포리스트 내에서 관리 되는 리소스를 포함 하 여 사용자가 일상 작업을 수행 하기 위해 방화벽을 통과할 필요가 없도록 합니다. 특정 사용자 또는 응용 프로그램에는 다른 포리스트에 연결 하기 위해 방화벽을 통과 하는 기능이 필요한 특별 한 요구 사항이 있을 수 있습니다. 모든 트러스트가 작동 하는 데 필요한 것을 포함 하 여 방화벽에서 적절 한 인터페이스를 열어서 이러한 요구 사항을 개별적으로 해결할 수 있습니다.

  • 리소스 포리스트를 사용 합니다. 기존 조직 포리스트에 사용자 계정을 유지 하면서 리소스와 서비스 계정을 별도의 리소스 포리스트에 넣습니다. 조직 포리스트를 사용할 수 없게 되 면 리소스 포리스트에 대 한 액세스를 유지 하기 위해 리소스 포리스트에서 일부 대체 사용자 계정을 만들어야 할 수 있습니다. 대체 계정에는 조직 포리스트가 다시 온라인 상태가 될 때까지 리소스 포리스트에 로그온 하 고 리소스에 대 한 제어를 유지 하는 데 필요한 권한이 있어야 합니다.

    사용자가 일반 사용자 계정을 사용 하 여 포리스트의 리소스에 액세스할 수 있도록 리소스와 조직 포리스트 간의 트러스트를 설정 합니다. 이 구성을 통해 사용자 계정을 중앙에서 관리할 수 있으며, 조직 포리스트를 사용할 수 없게 되 면 사용자가 리소스 포리스트의 대체 계정으로 대체할 수 있습니다.

서비스 격리에 대 한 고려 사항은 다음과 같습니다.

  • 서비스 격리를 위해 만든 포리스트는 다른 포리스트의 도메인을 신뢰 하지만 해당 서비스 관리자 그룹에 다른 포리스트의 사용자를 포함 해서는 안 됩니다. 다른 포리스트의 사용자가 격리 된 포리스트의 관리 그룹에 포함 되어 있는 경우 포리스트의 서비스 관리자에 게는 독점적인 제어가 없기 때문에 격리 된 포리스트의 보안이 손상 될 수 있습니다.

  • 네트워크에서 도메인 컨트롤러에 액세스할 수 있으면 해당 네트워크에 있는 컴퓨터의 공격 (예: 서비스 거부 공격)이 발생 합니다. 공격 가능성을 방지 하기 위해 다음 작업을 수행할 수 있습니다.

    • 보안 된 것으로 간주 되는 네트워크 에서만 도메인 컨트롤러를 호스트 합니다.

    • 도메인 컨트롤러를 호스팅하는 네트워크 또는 네트워크에 대 한 액세스를 제한 합니다.

  • 서비스를 격리 하려면 추가 포리스트를 만들어야 합니다. 추가 포리스트를 지 원하는 인프라를 유지 관리 하는 비용이 조직 포리스트를 사용할 수 없기 때문에 리소스에 대 한 액세스 손실과 관련 된 비용을 초과 하는지 여부를 평가 합니다.

    특정 사용자 또는 응용 프로그램에는 다른 포리스트에 연결 하기 위해 방화벽을 통과 하는 기능이 필요한 특별 한 요구 사항이 있을 수 있습니다. 모든 트러스트가 작동 하는 데 필요한 것을 포함 하 여 방화벽에서 적절 한 인터페이스를 열어서 이러한 요구 사항을 개별적으로 해결할 수 있습니다.

AD DS에서 사용 하도록 방화벽을 구성 하는 방법에 대 한 자세한 내용은 방화벽으로 분할 된 네트워크의 Active Directory를 참조 하세요.