IO 기능: ID 및 액세스 관리 - 표준화 -> 합리화

아티클
02/18/2008

이 페이지의 내용

소개
요구 사항: 중앙 집중식 디렉터리 기반 구성 및 보안

소개

ID 및 액세스 관리는 핵심 인프라 최적화 기능으로, 인프라 최적화 모델의 많은 기능을 구현하기 위한 기반입니다.

다음 표에는 ID 및 액세스 관리의 합리화 수준으로 이동함에 따른 상위 과제, 해당 솔루션 및 이점이 나열되어 있습니다.

과제	솔루션	이점
업무상 과제 조직에 필요한 IT 정책이나 규정을 적용하기 어려움 클라이언트 PC에 대해 알려진, 안정적인 보안 상태를 달성할 방법이 없음 IT 과제 ID 및 액세스 관리에 대한 중앙 집중식 정책 제어가 없어 광범위한 정책 변경 사항을 구현하려면 각 ID를 수정해야 함 ID가 중앙에서 관리되지만 사용자 및 리소스 설정, 구성을 관리하기 어려움	프로젝트 적용할 구성 표준 식별 및 정의 데스크톱, 서버, 구성 및 보안을 관리하기 위한 중앙 집중식 디렉터리 기반 정책 솔루션 구현	업무상 이점 환경의 알려진 상태가 적용됨 업무상 역할을 기반으로 PC에서 일관된 사용자 환경을 제공함 더욱 용이한 시스템 수정 및 기능이 추가됨 운영 및 데스크톱 지원 비용이 절감됨 사용자 가동 중지 시간 및 중단이 감소됨 IT 이점 역할 기반 관리/그룹 정책의 도입으로 작업이 감소됨 정책 기반 패치 관리 및 보안 잠금을 구현하여 보안이 강화됨 프로파일 관리로 사용자가 시스템과 데이터를 복구할 수 있음

업무상 과제

조직에 필요한 IT 정책이나 규정을 적용하기 어려움

클라이언트 PC에 대해 알려진, 안정적인 보안 상태를 달성할 방법이 없음

IT 과제

ID 및 액세스 관리에 대한 중앙 집중식 정책 제어가 없어 광범위한 정책 변경 사항을 구현하려면 각 ID를 수정해야 함

ID가 중앙에서 관리되지만 사용자 및 리소스 설정, 구성을 관리하기 어려움

프로젝트

적용할 구성 표준 식별 및 정의

데스크톱, 서버, 구성 및 보안을 관리하기 위한 중앙 집중식 디렉터리 기반 정책 솔루션 구현

업무상 이점

환경의 알려진 상태가 적용됨

업무상 역할을 기반으로 PC에서 일관된 사용자 환경을 제공함

더욱 용이한 시스템 수정 및 기능이 추가됨

운영 및 데스크톱 지원 비용이 절감됨

사용자 가동 중지 시간 및 중단이 감소됨

IT 이점

역할 기반 관리/그룹 정책의 도입으로 작업이 감소됨

정책 기반 패치 관리 및 보안 잠금을 구현하여 보안이 강화됨

프로파일 관리로 사용자가 시스템과 데이터를 복구할 수 있음

Microsoft ID 및 액세스 관리 시리즈에서 개략적으로 설명한 것처럼 지속적인 ID 및 액세스 관리는 다음 기능에 중점을 둡니다.

ID 및 액세스 관리를 위한 기반
- 기본 개념
- 플랫폼 및 인프라
ID 수명 주기 관리
액세스 관리 및 SSO(Single Sign On)
- 인트라넷 액세스 관리
- 엑스트라넷 액세스 관리

위에서 개략적으로 설명한 기능은 모두 어떠한 조직에나 있는 ID 및 액세스 관리 서비스의 핵심 부분입니다. 자세한 내용은 Microsoft ID 및 액세스 관리 시리즈를 참조하십시오.

인프라 최적화 모델에 있는 ID 및 액세스 관리의 합리화 수준에서는 중앙 집중식 구성 및 보안 관리의 필요성을 다룹니다.

요구 사항: 중앙 집중식 디렉터리 기반 구성 및 보안

대상

데스크톱의 80% 이상에 대한 구성과 보안을 중앙에서 관리할 수 있는 디렉터리 기반 도구가 마련되어 있지 않으면 이 절을 읽어야 합니다.

개요

관리자가 IT 인프라를 관리할 때 직면하는 문제들이 점차 복잡해지고 있습니다. 모바일 사용자, 정보 근로자, 데이터 입력과 같이 엄격히 정의된 작업에 임명된 작업자 등 많은 유형의 사용자에게 사용자 지정된 데스크톱 구성을 전달하고 유지 관리해야 합니다. 표준 운영 체제 이미지의 변경이 지속적으로 필요할 수도 있습니다. 보안 설정과 업데이트를 조직의 모든 컴퓨터와 장치에 효율적으로 전달해야 합니다. 많은 비용이 드는 교육/훈련 없이 빠르게 새로운 사용자의 생산성을 높여야 합니다. 컴퓨터 장애나 재해가 발생한 경우 데이터 손실과 중단을 최소화하여 서비스를 복원해야 합니다.

1단계: 평가

평가 단계의 기본 목표는 표준 보안 및 사용자 구성을 유지 관리하기 위해 현재 마련되어 있는 도구와 절차를 검토하는 것입니다. 현재 정책이 수동으로 관리될 수도 있고 패치 관리, 필요한 소프트웨어 설치 또는 표준 디스크 이미지에 필요한 구성 포함 등을 통해 자동화되어 있을 수도 있습니다. 이러한 작업과 표준화 수준의 다른 작업을 통해 조직에서 표준 기반을 유지 관리하고 있습니다. 구성 제어를 구현하면 인프라 최적화의 합리화 수준으로 이동하는 데 도움이 됩니다.

2단계: 식별

식별 단계에서는 구성 관리 정책, 패치 적용 및 디스크 이미지 처리 절차에 따라 실행되는 현재 구성 표준을 검토한 다음 현재 적용된 방법을 넘어서 적용이 필요한 총 보안 및 구성 제어 수를 식별합니다. 이러한 구성은 다음이 될 수 있습니다.

패치, 서비스 팩 또는 응용 프로그램과 같이 PC에 필요한 구성 요소
데스크톱 방화벽이나 안티바이러스 응용 프로그램과 같이 PC에서 실행해야 할 서비스 또는 응용 프로그램
인스턴트 메시징 응용 프로그램에서의 파일 전송 금지와 같은 데이터 액세스 및 전송 규칙

구성과 설정을 정책 제어의 후보로 정의하는 연습은 구성 관리의 초기 단계입니다. 구성 관리는 핵심 인프라 최적화 구현자 리소스 가이드: 기본 -> 표준화에서도 간략히 다루었습니다. Microsoft Operations Framework의 일부로 구성 관리에 대한 자세한 내용을 읽어보십시오.

3단계: 평가 및 계획

평가 및 계획 단계의 목표는 식별된 구성 및 보안 설정의 제어 수준을 결정하는 것입니다. 제어 수준은 위반한 구성을 모니터링하는 단순 기능을 갖추는 수준에서 준수 적용을 적극적으로 자동화하는 수준에 이르기까지 다양합니다.

구성 모니터링 도구는 위반한 구성에 대한 보고서를 제공하는 데 사용할 수 있습니다. 조직에서 위반한 구성을 보고한 다음 PC를 준수 상태로 되돌리기 위한 올바른 행동 방침을 결정해야 할 경우가 많습니다. 예를 들어 모든 PC에 응용 프로그램을 설치하도록 강제하고 싶지만 데스크톱 환경의 특정 하드웨어 유형에 존재하지 않는 드라이버가 해당 응용 프로그램에 필요한 경우에는 위반 인스턴스를 모니터링하고 개별적으로 최선의 해결 방법을 결정하는 것이 가장 좋습니다. 합리화 수준의 핵심 인프라 최적화를 달성하려면 그룹 정책을 사용하여 디렉터리 기반 구성 관리 인프라를 구현해야 하며 이 경우 독립 실행형 구성 모니터링 도구(반드시 필요한 것은 아님)를 사용하는 것이 좋습니다.

구성 모니터링 도구

Microsoft는 구성 준수 여부를 모니터링하는 2가지 도구를 제공합니다. BPA(Best Practice Analyzers)라고 하는 첫 번째 유형의 도구에는 Microsoft가 미리 정의한 최적의 방법 설정과 보고서가 포함되어 있습니다. 무료로 다운로드하여 Microsoft 서버 제품, 즉 Microsoft Exchange Server, Microsoft Internet Security and Acceleration Server 및 Microsoft SQL Server에 사용할 수 있는 BPA 도구가 있습니다. 두 번째 유형의 구성 모니터링 도구를 사용하면 조직에서 해당 조직 고유의 원하는 구성 설정이나 규칙을 정의하고 준수 여부를 모니터링할 수 있습니다. Systems Management Server 2003 Desired Configuration Monitoring이라고 하는 이 도구도 무료 다운로드이며 데스크톱과 서버용으로 사용자 지정된 구성 표준을 정의하는 데 사용됩니다. Systems Management Server 2003 Desired Configuration Monitoring을 사용하여 준수 감사를 수행하면 포함된 보고서가 특정 위반 사례를 알려 줍니다. 이러한 도구 외에도 Microsoft 파트너가 제공하는 많은 소프트웨어 응용 프로그램을 사용하여 표준 구성을 정의하고 관리할 수 있습니다.

Windows Server의 그룹 정책

제어의 다음 단계는 자동화된 구성 적용입니다. 표준 정책으로 필요한 구성 및 보안 설정의 많은 부분을 정의할 수 있습니다. 그룹 정책을 사용하면 많은 위반 인스턴스를 준수 상태로 되돌리는 단계를 자동화할 수 있습니다.

그룹 정책은 Active Directory 환경 내에서 대상 사용자와 컴퓨터 집합에 하나 이상의 필요한 구성이나 정책 설정을 전달하고 적용하는 데 사용되는 인프라입니다. 이 인프라는 하나의 그룹 정책 엔진과 대상 클라이언트 컴퓨터에 특정 정책 설정 쓰기를 담당하는 여러 클라이언트쪽 확장으로 이루어져 있습니다.

그룹 정책 및 Active Directory

관리자는 그룹 정책을 통해 그룹 정책 설정을 만들어 사용자와 컴퓨터 그룹의 특정 구성을 정의합니다. 이러한 설정은 그룹 정책 개체 편집기 도구를 통해 지정되고 그룹 정책 개체(GPO)에 포함됩니다. 그런 다음 GPO가 Active Directory 컨테이너에 연결됩니다. 그룹 정책 설정은 이러한 Active Directory 컨테이너에 있는 사용자와 컴퓨터에 적용됩니다. 관리자가 사용자의 작업 환경을 한 번 구성하고 시스템에 의존하여 정책을 정의된 대로 적용할 수 있습니다.

Active Directory는 사이트, 도메인 및 조직 구성 단위(OU)별로 개체를 구성합니다. 도메인과 OU는 계층 구조적으로 구성되어 컨테이너와 그 안에 있는 개체를 관리하기 쉽게 만듭니다. GPO에 정의된 설정은 해당 GPO가 이러한 컨테이너 중 하나 이상에 연결될 때만 적용할 수 있습니다.

GPO를 사이트, 도메인 및 OU에 연결하여 조직에 대해 원하는 부분만큼 넓거나 좁게 그룹 정책 설정을 구현할 수 있습니다. GPO 링크는 다음과 같은 방식으로 사용자와 컴퓨터에 영향을 미칩니다.

사이트에 연결된 GPO는 해당 사이트의 모든 사용자와 컴퓨터에 적용됩니다.
도메인에 연결된 GPO는 해당 도메인의 모든 사용자와 컴퓨터에 직접 적용되고 상속을 통해 하위 OU의 모든 사용자와 컴퓨터에도 적용됩니다. 정책은 도메인 간에 상속되지 않습니다.
OU에 연결된 GPO는 해당 OU의 모든 사용자와 컴퓨터에 직접 적용되고 상속을 통해 하위 OU의 모든 사용자와 컴퓨터에도 적용됩니다.

아래 그림은 GPO가 사이트, 도메인 및 하위 OU에 적용되는 방법을 보여 줍니다.

그림 3. GPO 적용

그림 3. GPO 적용

그룹 정책 기능

그룹 정책을 통해 관리자는 응용 프로그램과 운영 체제를 구성하고 사용자와 시스템을 안전하게 유지하는 방법을 결정하는 정책을 정의합니다. 다음 절에서는 그룹 정책의 주요 기능을 설명합니다.

레지스트리 기반 정책

응용 프로그램이나 운영 체제 구성 요소에 대한 정책을 제공하는 가장 일반적이고 쉬운 방법은 레지스트리 기반 정책을 구현하는 것입니다. 그룹 정책으로 응용 프로그램, 운영 체제 및 해당 구성 요소에 대한 레지스트리 기반 정책 설정을 정의할 수 있습니다.

보안 설정

그룹 정책은 관리자에게 GPO의 범위 내에서 컴퓨터와 사용자에 대한 보안 옵션을 설정하는 옵션을 제공합니다. 로컬 컴퓨터, 도메인 및 네트워크 보안 설정을 지정할 수 있습니다. 그룹 정책 보안 및 설정에 대한 자세한 내용은 모두 영문으로 제공되는 Windows Server 2003 보안 가이드, Windows XP 보안 가이드, Windows Vista 보안 가이드 및 위협 및 대책 가이드를 참조하십시오.

소프트웨어 제한

Windows XP, Windows Vista 및 Windows Server 2003을 실행하는 컴퓨터를 바이러스, 원치 않는 응용 프로그램 및 공격으로부터 보호하기 위해 그룹 정책에는 소프트웨어 제한 정책이 포함되어 있습니다.

소프트웨어 배포 및 설치

그룹 정책은 응용 프로그램 설치, 업데이트 및 제거를 중앙에서 관리할 수 있습니다.

컴퓨터 및 사용자 스크립트

관리자는 스크립트를 사용하여 컴퓨터를 시작하거나 종료할 때 수행되는 작업과 사용자가 로그온하거나 로그오프할 때 수행되는 작업을 자동화할 수 있습니다.

로밍 사용자 프로필 및 리디렉션 폴더

로밍 사용자 프로필을 사용하면 서버에 중앙 집중식으로 사용자 프로필을 저장해 두었다가 사용자가 로그온할 때 로드할 수 있습니다. 따라서 사용하는 컴퓨터와 관계없이 사용자가 일관된 환경을 경험하게 됩니다.

오프라인 폴더

네트워크를 사용할 수 없을 때 오프라인 폴더 기능을 사용하여 로컬 디스크에 있는 네트워크 파일과 폴더에 액세스할 수 있습니다.

Internet Explorer 유지 관리

관리자는 그룹 정책을 지원하는 컴퓨터에서 Microsoft Internet Explorer®의 구성을 관리하고 사용자 지정할 수 있습니다.

4단계: 배포

배치 단계에서는 개체 편집기로 그룹 정책 개체를 편집하는 것에 중점을 둡니다. GPO는 평가 단계와 식별 단계에서 식별된 사항을 반영해야 합니다. 그룹 정책 관리 콘솔과 지속적인 작업에 중점을 둔 운영이 이 기능에 추가되었습니다.

조직에 그룹 정책을 구현하기 전에 그룹 정책의 주요 개념, 그룹 정책 개체 편집기를 사용하는 방법 및 그룹 정책 설정을 구성하는 방법에 익숙해지도록 권장합니다. 다음 그룹 정책 작업에 대한 자세한 내용은 그룹 정책 개요를 참조하십시오.

운영

그룹 정책 관리 콘솔(GPMC) 사용자 인터페이스를 통해 실행되는 모든 작업이 그룹 정책의 운영 특성을 부여합니다. 다음 목록에는 그룹 정책 관리 콘솔 사용에 대한 정보의 링크가 포함되어 있습니다.

추가 정보

그룹 정책에 대한 자세한 내용을 보려면 Microsoft TechNet을 방문하여 "Group Policy"를 검색하십시오.

Microsoft의 그룹 정책 관리 방법을 보려면 https://www.microsoft.com/technet/itshowcase/content/grppolobjectmgmt.mspx를 방문하십시오.

체크포인트: 중앙 집중식 디렉터리 기반 구성 및 보안

	요구 사항
	모니터링하거나 적용해야 할 구성을 확인했습니다.
	구성 준수를 모니터링하고 적용하기 위한 도구를 선택했습니다.
	그룹 정책을 통해 관리되는 설정의 그룹 정책 개체를 정의했습니다.
	그룹 정책 개체를 관리할 그룹 정책 관리 콘솔을 구현했습니다.
	그룹 정책을 80% 이상의 데스크톱에 적용했습니다.

위에 나열된 단계를 완료했으면 인프라 최적화 모델의 중앙 집중식 디렉터리 기반 구성 및 보안 기능에 대한 합리화 수준의 최소 요구 사항을 충족한 것입니다. 구성 및 보안 관리에 대한 추가 최적의 방법 리소스 지침을 따르도록 권장합니다.

다음 자체 평가 질문으로 이동하십시오.