다음을 통해 공유

배포 프로젝트 참가자 식별

AD DS(Active Directory 도메인 Service)의 배포 프로젝트를 설정하는 첫 단계는 Active Directory 프로젝트 주기의 디자인 및 배포 단계를 관리하는 디자인 및 배포 프로젝트 팀을 설정하는 것입니다. 또한, 배포가 완료된 후 디렉터리 소유 및 유지 관리를 담당할 개인과 그룹을 식별해야 합니다.

프로젝트별 역할 정의

프로젝트별 역할을 담당할 개인의 식별은 프로젝트 팀 설정의 주요 단계입니다. 여기에는 경영진 후원자, 프로젝트 설계자 및 프로젝트 관리자가 포함 됩니다. 이들은 Active Directory 배포 프로젝트를 실행의 책임이 있습니다.

프로젝트 설계자 및 프로젝트 관리자를 임명한 뒤, 이들은 조직 전반의 커뮤니케이션 채널 설정하고, 프로젝트 일정을 작성하며, 여러 소유자를 비롯한 프로젝트 팀 구성원이 될 개인을 식별합니다.

임원 스폰서

AD DS와 같은 인프라를 배포하면 조직에 광범위한 영향을 미칠 수 있습니다. 그렇기 때문에, 배포의 비즈니스 가치를 이해하고, 집행 수준에서 프로젝트를 지원하고, 조직 전체의 충돌을 해결하는 데 도움이 될 수 있는 경영진 후원자를 두는 것이 중요합니다.

프로젝트 설계자

각 Active Directory 배포 프로젝트에는 프로젝트 설계자가 Active Directory 디자인 및 배포의 의사결정 프로세스를 관리해야 합니다. 설계자는 AD DS를 설계하고 배포하는 프로세스를 지원하기 위한 전문적인 기술 지식을 제공합니다.

참고 항목

조직의 기존 직원이 디렉터리 디자인 경험이 없는 경우 Active Directory 디자인 및 배포를 담당할 전문가를 외부 컨설턴트로 고용할 수 있습니다.

Active Directory 프로젝트 설계자의 책임은 다음과 같습니다.

  • Active Directory 디자인 소유

  • 주요 디자인 결정에 대한 근거의 이해 및 기록

  • 디자인이 조직의 비즈니스 요구 사항을 충족하는지 확인

  • 디자인, 배포 및 운영 팀 간에 합의 도출

  • AD DS 통합 애플리케이션의 요구 사항 이해

최종 Active Directory 디자인은 비즈니스 목표와 기술 사항에 관한 결정을 함께 반영해야 합니다. 따라서, 프로젝트 설계자는 디자인에 관한 결정을 검토하고 이것이 비즈니스 목표에 부합하는지 확인해야 합니다.

프로젝트 관리자

프로젝트 관리자는 사업부 전반 및 기술 관리 그룹 간의 협력을 원만하게 합니다. 이상적으로, Active Directory 배포 프로젝트 관리자는 IT 그룹의 운영 정책과 AD DS 배포를 준비하는 그룹에 대한 디자인 요구 사항을 모두 잘 알고 있는 조직 내의 사람이어야 합니다. 프로젝트 관리자는 설계부터 구현까지 전체 배포 프로젝트를 감독하고 프로젝트가 일정에 따라 예산 내에서 유지되도록 합니다. 프로젝트 관리자의 책임은 다음과 같습니다.

  • 일정 및 예산 등 전반적인 프로젝트 계획 제시

  • Active Directory 디자인 및 배포 프로젝트의 진행률 추진

  • 디자인 프로세스의 각 부분에 알맞은 인원이 참여하도록 보장

  • Active Directory 배포 프로젝트에 관한 총 연락책 역할

  • 디자인, 배포 및 운영 팀 간의 의사소통 수립

  • 배포 프로젝트 전체에서 경영진 후원자와의 의사소통 수립 및 유지

소유자 및 관리자 설정

Active Directory 배포 프로젝트에서 소유자는 배포 작업이 완료되고 Active Directory 디자인 사양이 조직의 요구 사항을 충족하는지 확인하기 위해 경영진으로서 책임을 집니다. 소유자가 디렉터리 인프라에 직접 액세스하거나 조작할 필요는 없습니다. 관리자는 필요한 배포 작업을 완료할 책임이 있는 개인을 말합니다. 관리자는 디렉터리와 해당 인프라를 조작하는 데 필요한 네트워크 접근과 허가권을 갖습니다.

소유자는 전략적이고 관리적인 역할을 담당합니다. 소유자는 포리스트 내에서 새 도메인 컨트롤러 만들기 등의 Active Directory 디자인 구현에 필요한 작업을 관리자에게 전달할 책임이 있습니다. 관리자는 디자인 사양에 따라 네트워크에서 디자인을 구현할 책임이 있습니다.

대규모 조직에서는 여러 사람이 소유자 및 관리자 역할을 담당합니다만, 일부 소규모 조직에서는 소유자와 관리자 역할을 한 사람이 겸할 수도 있습니다.

서비스 및 데이터 소유자

AD DS를 매일 단위로 관리하려면 다음 두 가지 유형의 소유자가 관여합니다.

  • Active Directory 인프라의 계획 및 장기 유지 관리를 담당하고 디렉터리가 계속 작동하고 서비스 수준 계약에 설정된 목표가 유지 관리되도록 하는 서비스 소유자.
  • 디렉터리에 저장된 정보의 유지 관리를 담당하는 데이터 소유자. 여기에는 사용자 및 컴퓨터 계정 관리 및 멤버 서버 및 워크스테이션과 같은 로컬 리소스의 관리가 포함됩니다.

최대한 많은 디자인 프로세스에 참여할 수 있도록 Active Directory 서비스 및 데이터 소유자를 조기에 식별하는 것이 중요합니다. 서비스 및 데이터 소유자는 배포 프로젝트가 완료된 후 디렉터리의 장기 유지 관리를 담당하므로, 이들은 조직의 요구 사항에 대한 입력을 제공하고 특정 디자인 결정을 내리는 원리를 잘 알고 있어야 합니다. 서비스 소유자에는 포리스트 소유자, Active Directory 도메인 명명 시스템(DNS) 소유자 및 사이트 토폴로지 소유자가 포함됩니다. 데이터 소유자에는 OU(조직 구성 단위) 소유자가 포함됩니다.

서비스 및 데이터 관리자

AD DS 작업에는 두 가지 유형의 관리자, 즉 서비스 관리자와 데이터 관리자가 포함됩니다. 서비스 관리자는 서비스 소유자가 내린 정책 결정을 구현하고 디렉터리 서비스 및 인프라 유지 관리와 관련된 일상적인 작업을 처리합니다. 여기에는 디렉터리 서비스를 호스팅하는 도메인 컨트롤러 관리, AD DS에 필요한 DNS와 같은 다른 네트워크 서비스 관리, 포리스트 전체 설정 구성 제어 및 디렉터리를 항상 사용할 수 있는지 확인하는 작업이 포함됩니다.

또한 서비스 관리자는 초기 Windows Server 2008 Active Directory 배포 프로세스가 완료된 후에 필요한 지속적인 Active Directory 배포 작업을 완료할 책임이 있습니다. 예를 들어 디렉터리에 대한 요구가 증가할 경우, 서비스 관리자는 필요에 따라 추가 도메인 컨트롤러를 만들고 도메인 간에 트러스트를 설정하거나 제거합니다. 이러한 이유로 Active Directory 배포 팀은 서비스 관리자를 포함해야 합니다.

조직 내의 신뢰할 수 있는 인원에게만 서비스 관리자 역할을 할당할 수 있도록 주의해야 합니다. 이러한 개인은 도메인 컨트롤러에서 시스템 파일을 수정하여, AD DS의 동작을 변경할 수 있습니다. 조직의 서비스 관리자가 네트워크 상의 운영 및 보안 정책에 익숙하고 해당 정책을 적용해야 할 필요성을 이해하는 인원인지 반드시 확인해야 합니다.

데이터 관리자는 사용자 및 그룹 계정과 같은 AD DS에 저장된 데이터를 유지 관리하고 도메인의 구성원이자 컴퓨터를 유지 관리하는 도메인 내의 사용자를 말합니다. 데이터 관리자는 디렉터리 내의 개체 하위 집합을 제어하며, 디렉터리 서비스의 설치 또는 구성은 제어할 수 없습니다.

데이터 관리자 계정은 기본 제공되지는 않습니다. 디자인 팀에서 조직에서 리소스를 관리하는 방법을 결정하면 도메인 소유자는 데이터 관리자 계정을 만들고 관리자가 책임져야 하는 개체 집합에 따라 적절한 권한을 위임해야 합니다.

조직의 서비스 관리자 수는 인프라가 계속 작동할 수 있도록 필요한 최소 수로 제한하는 것이 최선입니다. 대부분의 관리 작업은 데이터 관리자 선에서 완료할 수 있습니다. 서비스 관리자는 디렉터리와 이를 지원하는 인프라를 유지 관리해야 하므로 훨씬 더 광범위한 기술 세트가 필요합니다. 데이터 관리자는 디렉터리의 해당 부분을 관리하는 데 필요한 기술만 필요합니다. 이러한 방식으로 작업을 할당하면 전체 디렉터리와 해당 인프라를 운영하고 유지 관리하도록 소수의 관리자만 학습하면 되므로, 비용을 절감할 수 있습니다.

예를 들어, 서비스 관리자는 포리스트에 도메인을 추가하는 방법을 이해해야 합니다. 여기에는 서버를 도메인 컨트롤러로 변환하는 소프트웨어를 설치하는 방법과 도메인 컨트롤러를 Active Directory 환경으로 원활하게 병합할 수 있도록 DNS 환경을 조작하는 방법이 포함됩니다. 데이터 관리자는 부서의 새 직원용 사용자 계정 만들기 등, 자신이 담당하는 특정 데이터를 관리하는 방법만 알면 됩니다.

AD DS를 배포하려면 네트워크 인프라 운영과 관련된 여러 그룹 간의 조정 및 의사소통이 필요합니다. 이들 그룹은 디자인 및 배포 프로세스 중에 다양한 그룹을 대표할 책임이 있는 서비스 및 데이터 소유자를 임명해야 합니다.

배포 프로젝트가 완료되면 이러한 서비스 및 데이터 소유자는 그룹에서 관리하는 인프라 부분을 계속해서 담당합니다. Active Directory 환경에서 이러한 소유자는 포리스트 소유자, AD DS 소유자용 DNS, 사이트 토폴로지 소유자 및 OU 소유자를 지칭합니다. 이러한 서비스 및 데이터 소유자의 역할은 다음 섹션에서 설명하겠습니다.

포리스트 소유자

포리스트 소유자는 일반적으로 Active Directory 배포 프로세스를 담당하고 배포가 완료된 후 포리스트 내에서 서비스 제공을 유지 관리하는 조직의 고위 IT(정보 기술) 관리자를 말합니다. 포리스트 소유자는 네트워크 인프라 및 관리 요구 사항에 대한 필요한 정보를 기여할 수 있는 조직 내의 주요 담당자를 식별하여 다른 소유권 역할을 담당할 인원을 배정합니다. 포리스트 소유자는 다음을 담당합니다.

  • 포리스트 루트 도메인 배포를 통한 포리스트 생성

  • 포리스트에 필요한 도메인 생성을 위해 각 도메인에 첫 번째 도메인 컨트롤러 배포

  • 포리스트의 도메인 전체에서 서비스 관리자 그룹의 멤버 자격 관리

  • 포리스트의 각 도메인에 대한 OU 구조 디자인 생성

  • OU 소유자에게 관리 권한 위임

  • 약관의 변경.

  • 포리스트 전체 구성 설정에 대한 내용 변경

  • 세분화된 암호 및 계정 잠금 정책 등, 도메인 사용자 계정 정책을 비롯한 특정 그룹 정책의 정책 설정 구현

  • 도메인 컨트롤러에 적용되는 비즈니스 정책 설정

  • 도메인 수준에서 적용되는 그 이외의 모든 정책 설정

포리스트 소유자는 전체 포리스트에 대한 권한을 가집니다. 포리스트 소유자는 그룹 정책 및 비즈니스 정책을 설정하고 서비스 관리자를 선택할 책임이 있습니다. 포리스트 소유자는 서비스 소유자입니다.

AD DS 소유자용 DNS

AD DS 소유자용 DNS는 기존 DNS 인프라 및 조직의 기존 네임스페이스를 철저하게 이해해야 합니다.

AD DS 소유자용 DNS는 다음을 담당합니다.

  • 현재 DNS 인프라를 소유하고 있는 디자인 팀과 IT 그룹 간의 연락.

  • 신규 Active Directory 네임스페이스 생성을 보조할 조직의 기존 DNS 네임스페이스에 대한 정보 제공

  • 배포 팀과 협력하여 신규 DNS 인프라가 디자인 팀의 사양에 따라 배포되고 제대로 작동하는지 확인.

  • DNS 서버 서비스 및 DNS 데이터를 비롯한 AD DS 인프라에 대한 DNS 관리

AD DS 소유자용 DNS는 서비스 소유자입니다.

사이트 토폴로지 소유자

사이트 토폴로지 소유자는 느린 링크를 통해 연결된 개별 서브넷, 라우터 및 네트워크 영역의 매핑을 포함하여 조직 네트워크의 물리적 구조를 잘 이해해야 합니다. 사이트 토폴로지 소유자는 다음을 담당합니다.

  • 물리적 네트워크 토폴로지 및 AD DS에 미치는 영향 이해

  • Active Directory 배포가 네트워크에 미치는 영향 이해

  • 생성해야 할 Active Directory 논리 사이트의 결정

  • 서브넷 추가, 수정 또는 제거 시 도메인 컨트롤러에 대한 사이트 개체 업데이트

  • 사이트 링크, 사이트 링크 브리지 및 수동 연결 개체 생성

사이트 토폴로지 소유자는 서비스 소유자입니다.

OU 소유자

OU 소유자는 디렉터리에 저장된 데이터를 관리할 책임이 있습니다. 해당 인원은 네트워크에 있는 운영 및 보안 정책을 잘 알고 있어야 합니다. OU 소유자는 서비스 관리자가 위임한 작업만 수행할 수 있으며 할당된 OU에서 해당 작업만 수행할 수 있습니다. OU 소유자에게 할당될 수 있는 작업에는 다음이 포함됩니다.

  • 할당된 OU 내에서 모든 계정 관리 작업 수행

  • 할당된 OU의 멤버인 워크스테이션 및 멤버 서버 관리

  • 할당된 OU 내에서 로컬 관리자에게 권한 위임

OU 소유자는 데이터 소유자입니다.

프로젝트 팀 구성

Active Directory 프로젝트 팀은 Active Directory 디자인 및 배포 작업을 완료하는 임시 그룹입니다. Active Directory 배포 프로젝트가 완료되면 소유자는 디렉터리에 대한 책임을 지며, 프로젝트 팀은 해체가 가능합니다.

프로젝트 팀의 크기는 조직의 크기에 따라 달라집니다. 소규모 조직에서는 한 사람이 프로젝트 팀의 여러 책임 영역을 다루고 둘 이상의 배포 단계에 참여할 수 있습니다. 대규모 조직에는 다수로 구성된 대규모 팀 또는 다수의 책임 영역을 다루는 다수의 팀이 필요할 수도 있습니다. 모든 책임 영역이 할당되고 조직의 디자인 목표를 충족하기만 한다면, 팀의 규모는 중요하지 않습니다.

잠재적 포리스트 소유자 식별

네트워크 사용자에게 디렉터리 서비스를 제공하는 데 필요한 리소스를 소유하고 제어하는 조직 내의 그룹을 식별합니다. 이러한 그룹은 잠재적인 포리스트 소유자로 간주됩니다.

AD DS에서 서비스 및 데이터 관리를 분리하면 조직의 인프라 IT 그룹(또는 복수의 그룹)이 디렉터리 서비스를 관리할 수 있고 각 그룹의 로컬 관리자는 자신의 그룹에 속한 데이터를 관리할 수 있습니다. 잠재적 포리스트 소유자는 AD DS의 배포 및 지원을 위해 네트워크 인프라에 대한 필수 권한을 갖습니다.

중앙 집중식 인프라 IT 그룹을 가진 조직의 경우, IT 그룹은 일반적으로 포리스트 소유자이므로 곧 향후 배포에 대한 잠재적 포리스트 소유자가 됩니다. 다수의 독립 인프라 IT 그룹을 포함하는 조직에는 많은 잠재적 포리스트 소유자가 있습니다. 조직에 이미 Active Directory 인프라가 있는 경우, 현재 포리스트 소유자는 신규 배포를 위한 잠재적인 포리스트 소유자이기도 합니다.

배포를 고려 중인 각 포리스트의 소유자 역할을 할 잠재적 포리스트 소유자 중 하나를 선택합니다. 이러한 잠재적 포리스트 소유자는 디자인 팀과 협력하여 포리스트가 실제로 배포될지 또는 다른 기존 포리스트 가입과 같은 대체 작업 과정이 사용 가능한 리소스를 더 잘 사용하고 여전히 요구 사항을 충족하는지 여부를 결정할 책임이 있습니다. 조직의 포리스트 소유자(또는 복수의 소유자)는 Active Directory 디자인 팀의 구성원입니다.

디자인 팀 설정

Active Directory 디자인 팀은 Active Directory 논리 구조 디자인에 대한 결정을 내리는 데 필요한 모든 정보를 수집할 책임이 있습니다.

디자인 팀의 책임은 다음과 같습니다.

  • 필요한 포리스트 및 도메인 수와 포리스트와 도메인 간의 관계 결정

  • 데이터 소유자와 협력하여 디자인이 보안 및 관리 요구 사항을 충족하는지 확인.

  • 현재 네트워크 관리자와 협력하여 현재 네트워크 인프라가 디자인을 지원하도록 하며 디자인이 네트워크에 배포된 기존 애플리케이션에 부정적인 영향을 주지 않도록 하기

  • 조직의 보안 그룹 담당자와 협력하여 디자인이 설정된 보안 정책을 충족하는지 확인.

  • 데이터 소유자에게 적절한 수준의 보호 및 적절한 권한 위임을 허용하는 OU 구조 디자인하기

  • 배포 팀과 협력하여 랩 환경에서 디자인을 테스트하여 계획대로 작동하는지 확인하고 필요에 따라 디자인을 수정하여 발생하는 문제를 해결

  • 사용 가능한 대역폭의 오버로드를 방지하면서 포리스트의 복제 요구 사항을 충족하는 사이트 토폴로지 디자인을 생성. 사이트 토폴로지 디자인에 대한 자세한 내용은 Windows Server 2008 AD DS용 사이트 토폴로지 디자인 을 참조하십시오.

  • 배포 팀과 협력하여 디자인이 올바르게 구현되었는지 확인

디자인 팀에는 다음 멤버가 포함됩니다.

  • 잠재적 포리스트 소유자

  • 프로젝트 설계자

  • 프로젝트 관리자

  • 네트워크에서 보안 정책을 설정하고 유지 관리 담당 인원

논리적 구조 디자인 프로세스 중에서, 디자인 팀은 다른 소유자를 식별합니다. 해당 인원은 식별되는 즉시 디자인 프로세스 참여를 개시해야 합니다. 배포 프로젝트가 배포 팀에 전달된 후 디자인 팀은 디자인이 올바르게 구현되도록 배포 프로세스를 감독할 책임이 있습니다. 또한 디자인 팀은 테스트 피드백에 따라 디자인을 변경합니다.

배포 팀 설정

Active Directory 배포 팀은 Active Directory 논리 구조 디자인을 테스트하고 구현하는 역할을 담당합니다. 여기에는 다음 작업이 포함됩니다.

  • 프로덕션 환경을 충분히 에뮬레이트하는 테스트 환경 설정

  • 랩 환경에서 제안된 포리스트 및 도메인 구조를 구현하여 각 역할 소유자의 목표를 충족하는지 확인하여 디자인을 테스트

  • 랩 환경에서 설계에 의해 제안된 마이그레이션 시나리오의 개발 및 테스트

  • 각 소유자가 테스트 프로세스에서 로그오프하여 올바른 디자인 기능이 테스트되고 있는지 확인

  • 파일럿 환경에서의 배포 작업 테스트

디자인 및 테스트 작업이 완료되면 배포 팀은 다음 작업을 수행합니다.

  • Active Directory 논리 구조 디자인에 따라 포리스트 및 도메인을 생성합니다.

  • 사이트 토폴로지 디자인에 따라 필요에 따라 사이트 및 사이트 링크 개체를 생성합니다.

  • DNS 인프라가 AD DS를 지원하도록 구성되고 새 네임스페이스가 조직의 기존 네임스페이스에 통합되었는지 확인합니다.

Active Directory 배포 팀에는 다음 멤버가 포함됩니다.

  • 포리스트 소유자

  • AD DS 소유자용 DNS

  • 사이트 토폴로지 소유자

  • OU 소유자

배포 팀은 배포 단계 중 서비스 및 데이터 관리자와 협력하여 운영 팀의 구성원이 새 디자인에 익숙해지도록 합니다. 이렇게 하면 배포 작업이 완료될 때 소유권을 원활하게 이전할 수 있습니다. 배포 프로세스가 완료되면 새 Active Directory 환경을 유지 관리하는 책임이 운영 팀으로 이전됩니다.

디자인 및 배포 팀 문서화

AD DS의 디자인 및 배포에 참여할 사용자의 이름과 연락처 정보를 문서화합니다. 디자인 및 배포 팀의 각 역할에 대한 책임이 있는 사용자를 식별합니다. 처음에 이 목록에는 잠재적인 포리스트 소유자, 프로젝트 관리자 및 프로젝트 설계자가 포함됩니다. 배포할 포리스트 수를 결정할 때 추가 포리스트에 대한 새 디자인 팀을 만들어야 할 수 있습니다. 팀 멤버 자격이 변경되고 디자인 프로세스 중에 다양한 Active Directory 소유자를 식별할 때는 설명서를 업데이트해야 합니다. 각 포리스트에 대한 디자인 및 배포 팀을 문서화하는 데 도움이 되는 워크시트의 경우 에서 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip를 Windows Server 2003 배포 키트용 으로 다운로드하여 "디자인 및 배포 팀 정보"(DSSLOGI_1.doc)를 살펴보세요.