그룹은 단일 단위로 관리할 수 있는 사용자 계정과 컴퓨터 계정, 연락처 및 기타 그룹의 모음입니다. 특정 그룹에 속하는 사용자 및 컴퓨터를 그룹 구성원이라고 합니다.

AD DS(Active Directory 도메인 서비스)의 그룹은 도메인 및 조직 구성 단위(OU) 컨테이너 개체에 있는 디렉터리 개체입니다. AD DS는 설치 시 기본 그룹 세트를 제공하며, 그룹을 만드는 옵션도 제공합니다.

AD DS의 그룹을 사용하여 다음을 수행할 수 있습니다.

  • 공유 리소스에 대한 사용 권한을 개별 사용자가 아닌 그룹에 할당하여 관리를 단순화합니다. 그룹에 사용 권한을 할당하면 리소스에 대한 동일한 액세스 권한이 해당 그룹의 모든 구성원에게 할당됩니다.

  • 그룹 정책을 사용하여 사용자 권한을 그룹에 한 번만 할당하여 관리를 위임합니다. 그런 다음 그룹과 같은 권한을 부여할 구성원을 해당 그룹에 추가할 수 있습니다.

  • 전자 메일 그룹을 만듭니다.

그룹은 해당 범위 및 종류에 따라 구분됩니다. 그룹의 범위는 도메인이나 포리스트 내에서 그룹이 적용되는 범위를 결정합니다. 그룹 종류는 그룹을 사용하여 보안 그룹에 대한 공유 리소스의 사용 권한을 할당할 수 있는지 또는 메일 그룹에 대한 전자 메일 그룹에 대해서만 그룹을 사용할 수 있는지 결정합니다.

구성원 자격을 수정하거나 볼 수 없는 그룹도 있습니다. 이러한 그룹을 특수 ID라고 합니다. 이러한 특수 그룹은 상황에 따라 각기 다른 사용자를 나타낼 수 있습니다. 예를 들어 Everyone 그룹은 게스트와 다른 도메인의 사용자를 비롯하여 현재 네트워크의 모든 사용자를 나타내는 특수 ID입니다.

다음 섹션에서는 AD DS의 그룹 계정에 대한 추가 정보가 제공됩니다.

기본 그룹 이해

Domain Admins 그룹과 같은 기본 그룹은 Active Directory 도메인을 만들 때 자동으로 만들어지는 보안 그룹입니다. 이러한 미리 정의된 그룹을 사용하여 공유 리소스에 대한 액세스를 제어하고 전체 도메인의 특정 관리 역할을 위임할 수 있습니다.

많은 기본 그룹에는 그룹 구성원이 도메인에서 특정 작업(예: 로컬 시스템에 로그온하거나 파일 및 폴더를 백업하는 등의 작업)을 수행할 수 있도록 허용하는 사용자 권한 집합이 자동으로 할당됩니다. 예를 들어 Backup Operators 그룹의 구성원은 도메인의 모든 도메인 컨트롤러에 대해 백업 작업을 수행할 수 있는 권한을 갖게 됩니다.

그룹에 사용자를 추가하면 해당 사용자는 다음 권한을 갖게 됩니다.

  • 해당 그룹에 할당된 모든 사용자 권한

  • 공유 리소스에 대해 그룹에 할당된 모든 사용 권한

기본 그룹은 기본 제공 컨테이너 및 사용자 컨테이너에 있습니다. 기본 제공 컨테이너의 기본 그룹은 기본 제공 로컬이라는 그룹 범위를 갖습니다. 해당 그룹 범위 및 그룹 종류는 변경할 수 없습니다. 사용자 컨테이너에는 전역 범위로 정의된 그룹과 도메인 로컬 범위로 정의된 그룹이 포함됩니다. 이러한 컨테이너에 있는 그룹을 도메인 내의 다른 그룹이나 OU로 이동할 수 있지만 다른 도메인으로 이동할 수는 없습니다.

자세한 내용은 기본 그룹(https://go.microsoft.com/fwlink/?LinkID=131422(페이지는 영문일 수 있음))을 참조하십시오.

그룹 범위 이해

그룹은 도메인 트리나 포리스트에서 그룹이 적용되는 범위를 식별하는 영역에 따라 구분됩니다. 그룹 범위에는 도메인 로컬, 전역 및 유니버설의 세 가지가 있습니다.

도메인 로컬 그룹 이해

도메인 로컬 그룹의 구성원에는 Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 및 Windows Server 2008 R2 도메인의 다른 그룹 및 계정이 포함될 수 있습니다. 이러한 그룹의 구성원에는 한 도메인 내에서만 사용 권한이 할당될 수 있습니다.

도메인 로컬 범위를 갖는 그룹은 단일 도메인 내의 리소스에 대한 액세스를 정의하고 관리하는 데 유용합니다. 이러한 그룹은 다음을 구성원으로 포함할 수 있습니다.

  • 전역 범위를 갖는 그룹

  • 유니버설 범위를 갖는 그룹

  • 계정

  • 도메인 로컬 범위를 갖는 다른 그룹

  • 위 그룹의 혼합

예를 들어 다섯 명의 사용자에게 특정 프린터에 대한 액세스 권한을 부여하려는 경우 프린터 사용 권한 목록에 다섯 명의 사용자 계정을 모두 추가할 수 있습니다. 그러나 나중에 다섯 명의 사용자에게 새 프린터에 대한 액세스 권한을 부여하려는 경우 새 프린터에 대한 사용 권한 목록에 다섯 개의 계정을 모두 다시 지정해야 합니다.

조금만 계획하면 도메인 로컬 범위를 갖는 그룹을 만들고, 이 그룹에 프린터에 액세스할 수 있는 사용 권한을 할당하여 이러한 일상적인 관리 작업을 단순화할 수 있습니다. 전역 범위를 갖는 그룹에 다섯 개의 사용자 계정을 추가한 다음 도메인 로컬 범위를 갖는 그룹에 이 그룹을 추가합니다. 다섯 명의 사용자에게 새 프린터에 대한 액세스 권한을 부여하려는 경우 도메인 로컬 범위를 갖는 그룹에 새 프린터에 액세스할 수 있는 사용 권한을 할당합니다. 전역 범위를 갖는 그룹의 모든 구성원은 자동으로 새 프린터에 대한 액세스 권한을 얻게 됩니다.

글로벌 그룹 이해

글로벌 그룹의 구성원에는 그룹이 정의된 도메인의 다른 그룹 및 계정만 포함될 수 있습니다. 이러한 그룹의 구성원에는 포리스트에 있는 모든 도메인의 사용 권한이 할당될 수 있습니다.

전역 범위를 갖는 그룹을 사용하여 일상적인 유지 관리를 필요로 하는 사용자 계정 및 컴퓨터 계정과 같은 디렉터리 개체를 관리할 수 있습니다. 전역 범위를 갖는 그룹은 자체 도메인의 외부로는 복제되지 않으므로 전역 범위를 갖는 그룹의 계정을 자주 변경해도 글로벌 카탈로그에 대한 복제 트래픽이 생성되지 않습니다.

권한 및 사용 권한 할당은 이들이 할당된 도메인 내에서만 유효하지만 전역 범위를 갖는 그룹을 해당 도메인 간에 동일하게 적용하여 비슷한 용도의 계정에 대한 참조를 통합할 수 있습니다. 이를 통해 도메인 간의 그룹 관리를 단순화하고 합리화합니다. 예를 들어 Europe 및 UnitedStates의 두 도메인이 있는 네트워크에서 UnitedStates 도메인에 GLAccounting이라는 전역 범위를 갖는 그룹이 있을 경우 Europe 도메인에도 GLAccounting이라는 그룹이 있을 수 있습니다(Europe 도메인에 계정 기능이 있는 경우).

중요

글로벌 카탈로그로 복제되는 도메인 디렉터리 개체에 대해 사용 권한을 지정하는 경우 도메인 로컬 그룹 대신 글로벌 그룹이나 유니버설 그룹을 사용하는 것이 좋습니다.

유니버설 그룹 이해

유니버설 그룹의 구성원에는 도메인 트리 또는 포리스트의 모든 도메인에 있는 다른 그룹 및 계정이 포함될 수 있습니다. 이러한 그룹의 구성원에는 도메인 트리나 포리스트에 있는 모든 도메인의 사용 권한이 할당될 수 있습니다.

유니버설 범위를 갖는 그룹을 사용하여 여러 도메인에 걸쳐 있는 그룹을 통합할 수 있습니다. 이렇게 하려면 전역 범위를 갖는 그룹에 계정을 추가한 다음 이러한 그룹을 유니버설 범위를 갖는 그룹 내에 중첩합니다. 이러한 전략을 사용할 경우 전역 범위를 갖는 그룹에서 구성원 자격을 변경해도 유니버설 범위를 갖는 그룹에는 영향을 주지 않습니다.

예를 들어 네트워크에 Europe 및 UnitedStates라는 두 개의 도메인이 있고, 각 도메인에 GLAccounting이라는 전역 범위를 갖는 그룹이 있을 경우 UAccounting이라는 유니버설 범위의 그룹(자체 구성원으로 UnitedStates\GLAccounting 및 Europe\GLAccounting이라는 두 GLAccounting 그룹을 가짐)을 만듭니다. 이렇게 하면 엔터프라이즈의 모든 위치에서 UAccounting 그룹을 사용할 수 있습니다. 개별 GLAccounting 그룹의 구성원 자격을 변경해도 UAccounting 그룹이 복제되지 않습니다.

유니버설 범위를 갖는 그룹의 구성원 자격을 자주 변경하지 마십시오. 이 그룹 종류의 구성원 자격을 변경하면 그룹의 전체 구성원 자격이 포리스트의 모든 글로벌 카탈로그로 복제됩니다.

그룹 종류 이해

AD DS에는 메일 그룹과 보안 그룹의 두 그룹 종류가 있습니다. 메일 그룹으로는 전자 메일 그룹을 만들 수 있고 보안 그룹으로는 공유 리소스에 대한 사용 권한을 할당할 수 있습니다.

메일 그룹은 사용자 모음으로 전자 메일을 보내기 위해 사용하며, Microsoft Exchange Server 2007과 같은 전자 메일 응용 프로그램에서만 사용할 수 있습니다. 메일 그룹에는 보안이 설정되지 않습니다. 즉, DACL(임의 액세스 제어 목록)에 표시될 수 없습니다. 공유 리소스에 대한 액세스를 제어하기 위해 그룹이 필요한 경우 보안 그룹을 만드십시오.

보안 그룹은 주의해서 사용할 경우 네트워크의 리소스에 대한 액세스 권한을 할당하는 효율적인 방법이 될 수 있습니다. 보안 그룹을 사용하여 다음을 수행할 수 있습니다.

  • AD DS의 보안 그룹에 사용자 권한을 할당합니다.

    보안 그룹에는 사용자 권한이 할당되어 도메인이나 포리스트의 범위 내에서 해당 그룹의 구성원이 수행할 수 있는 작업이 결정됩니다. 사용자 권한은 AD DS를 설치할 때 일부 보안 그룹에 자동으로 할당되어 관리자가 도메인의 개인 관리 역할을 정의하는 데 도움을 줍니다. 예를 들어 Active Directory의 Backup Operators 그룹에 추가된 사용자는 도메인의 각 도메인 컨트롤러에서 파일과 디렉터리를 백업 및 복원할 수 있습니다.

  • 리소스의 보안 그룹에 사용 권한을 할당합니다.

    사용 권한은 사용자 권한과 다릅니다. 사용 권한은 공유 리소스에 액세스할 수 있는 사용자를 결정하며 액세스 수준(예: 모든 권한)을 결정합니다. 보안 그룹을 사용하면 공유 리소스에 대한 액세스 및 사용 권한을 관리할 수 있습니다. 도메인 개체에 설정된 일부 사용 권한은 기본 보안 그룹(예: Account Operators 그룹이나 Domain Admins 그룹)에 대한 다양한 액세스 수준을 허용하도록 자동으로 할당됩니다.

메일 그룹과 마찬가지로 보안 그룹도 전자 메일 엔터티로 사용할 수 있습니다. 그룹으로 전자 메일 메시지를 보내면 해당 그룹의 모든 구성원에게 메시지가 전송됩니다.

특수 ID

Windows Server 2008 R2, Windows Server 2008 또는 Windows Server 2003을 실행하는 서버에는 사용자 컨테이너 및 기본 제공 컨테이너의 그룹 외에 몇 가지 특수 ID가 포함되어 있습니다. 편의상 이러한 ID를 일반적으로 그룹이라고 합니다. 이러한 특수 그룹은 수정 가능한 특정 구성원 자격을 갖지 않습니다. 그러나 이러한 특수 그룹은 상황에 따라 각기 다른 사용자를 나타낼 수 있습니다. 다음 그룹은 특수 ID를 나타냅니다.

  • Anonymous Logon

    이 그룹은 계정 이름, 암호 또는 도메인 이름을 사용하지 않고 네트워크를 통해 컴퓨터 및 해당 리소스에 액세스하는 사용자 및 서비스를 나타냅니다. Windows NT 및 이전 버전을 실행하는 컴퓨터에서 Anonymous Logon 그룹은 Everyone 그룹의 기본 구성원입니다. Windows Server 2008 R2, Windows Server 2008 또는 Windows Server 2003을 실행하는 컴퓨터에서는 기본적으로 Anonymous Logon 그룹이 Everyone 그룹의 구성원이 아닙니다.

  • Everyone

    이 그룹은 게스트 및 다른 도메인의 사용자를 비롯하여 현재 네트워크의 모든 사용자를 나타냅니다. 사용자는 네트워크에 로그온할 때마다 Everyone 그룹에 자동으로 추가됩니다.

  • Network

    이 그룹은 리소스가 있는 컴퓨터에 로컬로 로그온하여 리소스에 액세스하는 사용자와는 달리 네트워크를 통해 지정된 리소스에 현재 액세스하고 있는 사용자를 나타냅니다. 사용자는 네트워크를 통해 지정된 리소스에 액세스할 때마다 Network 그룹에 자동으로 추가됩니다.

  • Interactive

    이 그룹은 네트워크를 통해 리소스에 액세스하는 사용자와는 달리 현재 특정 컴퓨터에 로그온되어 있으며 해당 컴퓨터의 지정된 리소스에 액세스하고 있는 모든 사용자를 나타냅니다. 사용자는 현재 로그온되어 있는 컴퓨터의 지정된 리소스에 액세스할 때마다 Interactive 그룹에 자동으로 추가됩니다.

특수 ID는 리소스에 대한 권한 및 사용 권한을 할당받을 수 있지만 구성원 자격을 수정하거나 볼 수는 없습니다. 그룹 범위는 특수 ID에 적용되지 않습니다. 사용자는 로그온하거나 특정 리소스에 액세스할 때마다 이러한 특수 ID에 자동으로 할당됩니다.

그룹을 만들 수 있는 위치 이해

AD DS에서 그룹은 도메인에 만들어집니다. Active Directory 사용자 및 컴퓨터를 사용하여 그룹을 만듭니다. 필요한 사용 권한을 가지고 있는 경우 포리스트의 루트 도메인, 포리스트의 다른 도메인 또는 OU에 그룹을 만들 수 있습니다.

그룹은 만들어진 도메인뿐만 아니라 범위에 따라서도 구분됩니다. 그룹의 범위에 따라 다음이 결정됩니다.

  • 구성원을 추가할 수 있는 도메인

  • 그룹에 할당된 권한 및 사용 권한이 유효한 도메인

그룹에 필요한 관리를 기준으로 그룹을 만드는 특정 도메인이나 OU를 선택합니다. 예를 들어 디렉터리에 각각 다른 관리자가 관리하는 여러 개의 OU가 있는 경우 관리자가 해당 OU에 속하는 사용자의 그룹 구성원 자격을 관리할 수 있도록 해당 OU 내에서 전역 범위를 갖는 그룹을 만들려고 할 수 있습니다. OU 외부의 액세스 제어를 위해 그룹이 필요한 경우 포리스트의 다른 위치에서 사용할 수 있는 유니버설 범위를 갖는 그룹이나 전역 범위를 갖는 다른 그룹에 해당 OU의 그룹을 중첩할 수 있습니다.

도메인 기능 수준을 Windows 2000 기본 이상으로 설정했으며 도메인에 OU 계층이 포함되어 있고 관리가 각 OU의 관리자에게 위임된 경우 전역 범위를 갖는 그룹을 중첩시키는 것이 좀 더 효율적일 수 있습니다. 예를 들어 OU1에 OU2와 OU3이 포함되어 있으면 OU1에서 전역 범위를 갖는 그룹은 OU2와 OU3에서 전역 범위를 갖는 그룹을 구성원으로 가질 수 있습니다. OU1의 관리자는 OU1의 그룹 구성원을 추가하거나 제거할 수 있으며 OU2와 OU3의 관리자는 OU1에서 전역 범위를 갖는 그룹에 대한 관리 권한이 없어도 자체 OU의 계정에 대해 그룹 구성원을 추가하거나 제거할 수 있습니다.

참고

도메인 내에서 그룹을 이동할 수 있습니다. 단, 도메인 간에 이동할 수 있는 그룹은 유니버설 범위를 갖는 그룹뿐입니다. 유니버설 범위를 갖는 그룹에 할당된 권한 및 사용 권한은 그룹을 다른 도메인으로 이동할 때 손실되므로 새로 할당해야 합니다.

추가 참조


목차