여러 포리스트 간에 계정 확인(SharePoint Server 2010)

  • 아티클

 

적용 대상: SharePoint Server 2010

마지막으로 수정된 항목: 2016-11-30

Microsoft SharePoint Server 2010은 단일 포리스트/다중 포리스트 환경을 비롯한 Active Directory 도메인 서비스의 다양한 구성에서 배포할 수 있습니다.

여러 포리스트에 SharePoint Server 2010을 배포하려는 경우에는 두 가지 기본 구성을 사용할 수 있습니다.

  • 리소스 포리스트 배포: 단일 로그온 포리스트를 사용하여 둘 이상의 포리스트가 구성되는 배포입니다. 여기서 단일 로그온 포리스트에 포함되는 계정은 파일 및 응용 프로그램 서버가 있는 하나 이상의 리소스 도메인을 통해 신뢰됩니다.

  • 다중 로그온 포리스트 배포: 양방향 트러스트를 통해 리소스에 액세스하는 사용자 계정이 포함된 둘 이상의 포리스트가 있는 배포입니다.

참고

이 문서에서 설명하는 절차를 정상적으로 수행하려면 포리스트 간에 단방향 트러스트가 하나 이상 있어야 합니다.

여러 포리스트 간에 계정을 확인하는 방법에 대한 자세한 내용과 포리스트 간의 관계를 보여 주는 그림을 확인하려면 Microsoft SharePoint 팀 블로그(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=186152&clcid=0x412)(영문일 수 있음)를 참조하십시오.

리소스 포리스트 배포

리소스 포리스트 구성은 모든 사용자 계정이 하나 이상의 최상위 포리스트에 있는 구성입니다. 모든 사용자는 이러한 포리스트의 자격 증명을 사용하여 로그온합니다. Microsoft Exchange Server 및 SharePoint Server 2010과 같은 리소스 서버는 별도의 리소스 포리스트에 설치되며, 이 포리스트는 각 계정 포리스트에 대한 단방향 트러스트를 유지 관리합니다. 리소스 포리스트는 해당 포리스트에 액세스하는 각 사용자에 대한 숨겨진 계정(로그온 계정 아님)과, 사용자 계정의 ms-ds-Source-Object 속성을 기반으로 사용자에 대한 메타데이터를 포함합니다.

이러한 종류의 배포에서 SharePoint Server 2010은 리소스 포리스트 디렉터리의 컨테이너에서 Active Directory 정보를 가져오며, 해당 정보를 사용자 프로필 및 내 사이트 만들기의 기준으로 사용합니다.

다중 로그온 포리스트 배포

다중 로그온 포리스트 배포에서 사용자 계정은 둘 이상의 포리스트에 분산됩니다. 일반적으로 모든 포리스트 간에는 양방향 트러스트가 적용됩니다. 둘 이상의 조직이 합병할 때 기존 포리스트를 유지 관리하도록 결정했으며 사용자가 각 포리스트의 리소스에 액세스할 수 있도록 하는 경우 이러한 배포가 사용됩니다. 여러 기존 응용 프로그램이 배포된 위치의 포리스트 구조를 사용하므로, 일부 사용자에게는 액세스해야 하는 각 포리스트에서 계정이 부여됩니다.

이러한 종류의 배포에서 SharePoint Server 2010은 사용자 계정이 있는 각 포리스트에 대한 디렉터리 연결을 사용하여 포리스트 중 하나에 배포됩니다. 그러면 사용자 개체의 고유 이름(ms-ds-Source-Object-DN) 특성을 사용하여 사용자 계정 간의 연결을 만들어야 합니다. 단일 사용자에게 속하는 여러 계정 간의 이러한 관계에서 한 계정은 기본 계정으로 간주되고 나머지 모든 계정은 기본 계정의 대체 계정으로 간주됩니다. Microsoft Forefront Identity Manager를 통해 사용자 계정 개체 간의 이러한 관계를 만들 수 있습니다.

아래 표에는 다양한 기능의 예상 사용자 환경이 나와 있습니다.

기능 사용자 환경

프로필 페이지 및 개체 모델

SharePoint Server 2010은 프로필 식별 기준이 되는 대체 계정 목록을 유지 관리합니다. 사용자 프로필을 찾기 위해 계정 중 하나를 사용하는 경우 SharePoint Server 2010에서는 기본 계정 프로필을 반환합니다.

내 사이트

내 사이트를 만들 때 SharePoint Server 2010에서는 사용자의 기본 계정을 사용하여 사이트를 만듭니다. 모든 대체 계정은 자동으로 사이트에 관리자로 추가됩니다.

사용자 검색

사용자를 검색하면 사용자의 기본 계정 정보가 반환됩니다.

대상 그룹

SharePoint Server 2010에서 대상 그룹은 기본 계정만 사용합니다. 사용자의 대체 계정을 포함하는 규칙은 내부적으로 해당 사용자의 기본 계정을 사용합니다. 기본 계정과 대체 계정은 상황에 따라 적절하게 조정되므로, 기본 계정과 대체 계정의 관리 계층 구조는 동일합니다.

비즈니스에서 가져오기

SharePoint Server 2010은 각 사용자의 기본 계정 정보를 사용하므로, 기본 사용자 계정을 통해 식별할 수 있는 데이터만 가져옵니다. 비즈니스 데이터 카탈로그에서 사용자 목록을 만들 때는 각 사용자의 기본 계정을 사용하십시오.

구성원 자격 동기화

SharePoint Server 2010에서는 기본 계정과 대체 계정을 모두 소유한 사용자가 속한 사이트를 동일한 사용자 계정에 속하는 것으로 간주합니다. 보다 정확한 사이트 구성원 자격 목록을 생성하려면 SharePoint Server 2010에서 "SELECT docs FROM member site WHERE author = domain1\user OR author = domain2\user"와 같은 쿼리를 사용해야 합니다. 그러면 사용자가 구성원인 사이트 및 사용자 계정이 포함된 목록이 생성됩니다.

프로필 동기화

사용자 프로필에 대한 변경 내용은 해당 사용자에게 연결된 모든 사용자 계정에 복제됩니다. 따라서 사용자가 로그온하는 데 사용하는 계정에 관계없이 내 사이트에서 프로필에 사진을 추가하는 등의 변경이 모든 SharePoint Server 2010 사이트로 동기화됩니다.

웹 프런트 엔드 서버 준비

사용자 선택에서는 응용 프로그램 풀 계정을 통해 사용자 및 그룹을 검색할 때 모든 양방향 트러스트 도메인에 대해 쿼리를 자동으로 발급합니다. 사용자 선택에서 보조 계정을 선택하는 경우 기본 계정 정보가 반환됩니다.

단방향 트러스트의 경우에는 다음 정보를 제공해야 합니다.

  • 포리스트 쿼리 권한이 있는 로그온 자격 증명

  • 사용자 선택에서 쿼리를 수행할 때 사용할 암호화 키

다음 절차에 따라 이 계정을 사용할 각 SharePoint Server 2010 웹 프런트 엔드 서버에 대해 암호화 키를 준비합니다.

참고

이 작업의 절차를 수행하려면 Stsadm 명령줄 도구를 사용해야 합니다. Stsadm 명령줄 도구는 이번 릴리스에서는 더 이상 사용되지 않지만 이전 제품 버전과의 호환성을 지원하기 위해 포함되어 있습니다.

웹 프런트 엔드 서버를 준비하려면

  1. 시작을 클릭하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

  2. 다음 명령을 입력합니다.

    stsadm.exe -o setapppassword -password <key>

    여기서 <key>는 웹 응용 프로그램에 대해 설정할 암호화 키입니다.

여러 포리스트에 대해 자격 증명 등록

SharePoint Server 2010은 원활한 사용자 환경을 제공하기 위해 여러 포리스트에서 사용자 계정 간의 연결을 추적할 수 있습니다. Stsadm 명령줄 도구를 사용하면 아래 절차와 같이 이러한 계정 관계를 설정할 수 있습니다.

다음 절차를 수행하려면 SharePoint Server 2010을 실행하는 서버에서 Farm Administrators 그룹 구성원이어야 합니다.

여러 포리스트에 대해 자격 증명을 등록하려면

  1. 시작을 클릭하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

  2. 다음 명령을 입력합니다.

    stsadm.exe -o setproperty -url <http://server:port> -pn "peoplepicker-searchadforests" -pv "<forest:contoso.com;domain:corp.contoso.com>", <LoginName>,<Password>, <Key>

    여기서 각 부분이 나타내는 의미는 다음과 같습니다.

    • <http://server:port>는 액세스 권한을 부여할 웹 응용 프로그램의 URL입니다.

    • <forest:contoso.com;domain:corp.contoso.com>은 포리스트의 정규화된 이름과 사용자 계정을 검색할 도메인입니다.

    • <LoginName>은 사용자의 계정 이름입니다.

    • <Password>는 사용자의 암호입니다.

    • <key>는 웹 응용 프로그램에 대해 설정할 암호화 키입니다.