관리형 Microsoft AD 개요

Microsoft Active Directory용 관리형 서비스(관리형 Microsoft AD)는 Google Cloud에서 호스팅하는 가용성이 높은 강화된 Microsoft Active Directory 도메인을 제공합니다. 이 서비스는 Active Directory 관리에 필요한 중요하지만 일상적인 관리 작업을 줄이면서 Active Directory 사용 공간을 클라우드로 확장합니다.

관리형 Microsoft AD를 사용하면 포리스트 수준의 트러스트를 통해 Google Cloud에서 기존 온프레미스 Active Directory 인프라에 연결할 수 있으므로 조직 데이터에 안전하게 액세스할 수 있습니다.

관리형 Microsoft AD 작동 방식

관리형 Microsoft AD는 Windows 가상 머신에서 실제 Microsoft Active Directory 도메인 컨트롤러를 실행하여 애플리케이션 호환성을 보장합니다. 이 서비스는 도메인 컨트롤러를 생성하고 유지보수하므로 관리해야 하는 유지보수 태스크가 줄어듭니다.

멀티 리전 지원

관리형 Microsoft AD는 전 세계 어디에서나 최소 지연 시간을 보장하는 Google Cloud의 Virtual Private Cloud(VPC)와 피어링할 때 Active Directory 포리스트의 멀티 리전 배포를 지원합니다. VPC 내에서 리전 간 VPC 피어링 또는 하이브리드 연결 없이 관리형 Microsoft AD를 여러 리전으로 확장할 수 있습니다. 이러한 유연성 덕분에 관리형 Microsoft AD를 인프라와 동일한 리전에 배포하거나 리전마다 별도의 도메인을 만들지 않아도 됩니다. 도메인을 최대 4개까지 지원되는 리전으로 확장하면 필요에 따라 추가 리전에 도메인 컨트롤러를 배포함으로써 리전 서비스 중단에 대한 복원력을 강화하고 쉽게 수평 확장할 수 있습니다. 고가용성을 유지하고 내결함성을 개선하기 위해 관리형 Microsoft AD는 중복되지 않는 Google Cloud 영역의 각 리전에 2개의 도메인 컨트롤러를 배포합니다.

포리스트 설계 모델

관리형 Microsoft AD는 다음과 같은 Active Directory 포리스트 설계 모델을 지원합니다.

  • 조직 포리스트: 동일한 포리스트에 독립적으로 관리되는 사용자 계정과 리소스가 포함됩니다.

  • 리소스 포리스트: 리소스를 관리하는 데 별도의 포리스트가 사용됩니다.

  • 제한된 액세스 포리스트: 별도의 포리스트에 나머지 조직에서 격리되어야 하는 사용자 계정 및 데이터가 포함됩니다.

AD 포리스트 설계 모델조직에 적합한 모델을 선택하는 방법을 자세히 알아보세요.

관리형 Microsoft AD의 차이점

관리형 Microsoft AD는 여러 가지 면에서 기존의 Active Directory 배포와 다릅니다.

기존의 Active Directory 배포를 구현할 때는 다음을 수행해야 합니다.

  • 조직의 가용성이 높은 AD 토폴로지를 수동으로 디자인하고 배포합니다.

  • DNS, 복제, 인증, CPU 로드 등 추적을 포함하여 도메인을 정상 상태로 유지하려면 AD 진단을 수동으로 실행하세요.

  • 백업 계획을 수동으로 만들고 조직의 재해 복구 대응을 확인하세요.

  • AD 도메인을 호스팅하는 네트워크에 대한 방화벽 규칙을 수동으로 정의하세요.

  • 동일한 네트워크에서 실행되는 다른 서버가 AD 도메인을 손상시키지 않도록 특별히 주의하세요.

  • AD 도메인 컨트롤러를 수동으로 패치하세요.

  • 도메인 관리자 계정에 대한 시간 제한 액세스와 같은 보안 권장사항을 설계하고 구현하기 위해 노력합니다.

  • 신뢰할 수 있는 사용자만 AD 도메인 컨트롤러를 실행하는 리소스에 대한 관리 액세스 권한을 갖도록 하세요.

관리형 Microsoft AD는 이 섹션의 앞부분에서 나열된 여러 태스크를 자동화하여 Active Directory 도메인을 설정하고 유지보수하는 데 필요한 노력을 줄입니다.

관리형 Microsoft AD 시작하기

관리형 Microsoft AD 사용을 시작하려면 관리형 Microsoft AD 도메인 및 관리형 Microsoft AD 도메인을 사용할 수 있도록 승인된 Google Cloud VPC 네트워크의 이름을 지정하세요. 승인된 Google Cloud VPC 네트워크의 가상 머신을 사용하거나 온프레미스 인프라 및 VPN 또는 Cloud Interconnect를 통해 Google Cloud에 연결된 기타 클라우드 제품을 통해 관리형 Microsoft AD 도메인에 액세스할 수 있습니다.

관리형 Microsoft AD는 다음 AD 객체를 제공합니다.

  • 위임된 관리자 계정. 이 계정을 사용하여 Active Directory 도메인을 관리합니다.

  • Cloud 조직 단위(OU) Cloud OU를 사용하여 사용자, 서비스 계정, 그룹, 추가 OU와 같은 Active Directory 객체를 만듭니다. Cloud OU에 만든 OU에 그룹 정책 객체(GPO)를 적용할 수 있습니다.

자세한 내용은 관리형 Microsoft AD의 기본 Active Directory 객체를 참조하세요.

자세히 알아보기