Active Directory | dsa.msc 검색에서 특성편집기 보는 방법, LDAP쿼리 활용하기

1. 개요 – Active Directory | dsa.msc 검색에서 특성편집기 보는 방법, LDAP쿼리 활용하기
2. LDAP(Lightweight Directory Access Protocol) 이란?
3. 사용자 및 컴퓨터에서 ‘저장된 쿼리’기능 활용하기
4. 작업스케줄러로 자동으로 특정 시간에 자동 종료하게 만들기
5. 자동 종료 취소하기
6. 주의사항
7. 결론
(출처 및 참고자료)

1. 개요 – Active Directory | dsa.msc 검색에서 특성편집기 보는 방법, LDAP쿼리 활용하기

Active Directory (AD)는 조직 내 사용자, 그룹 및 컴퓨터와 같은 다양한 네트워크 리소스를 관리하고 보안을 제공하는 데 필수적인 Microsoft의 디렉터리 서비스(Directory Service)로, AD관리자는 Active Directory 사용자 및 컴퓨터(Active Directory Users and Computers, ADUC, 흔히 dsa.msc)에서 사용자, 컴퓨터, 그룹 등의 리소스를 검색하는 경우가 많습니다.

ADUC에서 기본으로 제공하는 ‘찾기’ 기능을 사용할 때, 사용자 개체의 [특성 편집기]탭이 보이지 않는데, 이에 대한 해결 방법을 알아보겠습니다.

2. LDAP(Lightweight Directory Access Protocol) 이란?

LDAP(Lightweight Directory Access Protocol)은 네트워크 상에서 디렉터리 서비스를 조회하고 수정하기 위해 사용되는 프로토콜입니다. Active Directory, OpenLDAP 같은 디렉터리 서비스에 저장된 정보를 검색하고 관리하는 데 필수적인 도구로, 사용자, 그룹, 기타 개체들에 대한 정보를 포함하고 있습니다.

LDAP 에서 특정 패턴 또는 조건에 맞는 객체를 찾기 위해 사용되며, 이를 통해 관리자는 대규모 네트워크 환경에서도 필요한 정보를 신속하게 찾아낼 수 있습니다.

쿼리는 보통 필터와 함께 사용되며, 이 필터는 검색 조건을 정의합니다. 예를 들어, (&(objectClass=user)(cn=*abc*))와 같은 쿼리는 objectClass가 user인 모든 객체 중에서 “cn” (Common Name) 속성에 “abc” 문자열을 포함하는 객체들을 찾아냅니다.

LDAP 쿼리의 구성과 사용 방법을 이해하고 적절히 활용함으로써, Active Directory 내의 정보를 보다 효과적으로 관리할 수 있습니다. 다음으로 Active Directory의 “사용자 및 컴퓨터”에서 “저장된 쿼리” 기능을 활용하는 방법에 대해 더 자세히 살펴보겠습니다.

3. 사용자 및 컴퓨터에서 ‘저장된 쿼리’기능 활용하기

‘Active Directory 사용자 및 컴퓨터’에서 ‘저장된 쿼리 Saved Query’ 기능을 사용하여, 검색하는 방법입니다. 간단한 예로, 사용자 개체만 찾아보겠습니다.

1. ‘Active Directory 사용자 및 컴퓨터(dsa.msc)’를 실행합니다.

2. [‘저장된 쿼리 Saved Query’에서 마우스 오른쪽 클릭 –> 새로 만들기 –> 쿼리 Query] 순서로 진행합니다.

3. [‘새 쿼리’ 창 –> ‘이름’ 입력 –> [쿼리 정의] –> ‘사용자 지정 검색’ –> [고급] –> LDAP 쿼리 입력]

(&(objectClass=user)(cn=*se*))

“objectClass” 는 “user” 를 찾고, “cn(Common Name)” 은 “*se*“인 값을 찾는 LDAP쿼리입니다.

4. 결과 확인. “se”라는 글자가 포함된 사용자 개체를 모두 찾았습니다.

또한, 쿼리를 수정하여, 사용자 개체 검색을 더 효율적으로 할 수 있습니다.

4. ‘찾기’ 기능과 ‘저장된 쿼리’의 차이점

‘찾기’ 기능에서 찾은 사용자 개체와 LDAP으로 찾아낸 사용자 개체와 차이점을 알아보겠습니다.

‘찾기’ 기능에서 찾은 사용자 개체에서는 [특성 편집기 Attribute Editor]를 볼 수 없습니다. 하지만 LDAP 쿼리를 사용하여 찾아낸 개체를 선택하면 [특성 편집기 Attribute Editor]를 볼 수 있습니다.

[특성 편집기 Attribute Editor]가 차이 있음. '찾기'에서 본 사용자 개체 속성(좌), '저장된 쿼리'에서 본 사용자 개체 속성(우) — [특성 편집기 Attribute Editor]가 차이 있음. ‘찾기’에서 본 사용자 개체 속성(좌), ‘저장된 쿼리’에서 본 사용자 개체 속성(우)

5. 결론

Active Directory 사용자 및 컴퓨터(ADUC)에서 ‘찾기’ 기능에서는 개체의 [특성 편집기(Attribute Editor)]를 볼 수 없다는 것과 ‘저장된 쿼리(Saved Query)’ 기능을 사용하여 ‘찾기’ 기능과 거의 비슷한 결과를 보고 [특성 편집기(Attribute Editor)]를 볼 수 있을 것을 확인하였습니다.

기본적인 ‘찾기’ 기능은 사용하기 쉽고 빠르지만, LDAP 쿼리 사용이 처음에는 어렵고 시간이 더 걸릴 수 있습니다. 하지만 한 번 익히면, ‘찾기’ 기능 보다 훨씬 더 효율적일 것입니다.

LDAP 쿼리를 적재적소에 잘 활용하여, 검색을 더 응용하여 업무효율을 높이시길 바랍니다.

!@#끝!@#

(출처 및 참고자료)

Microsoft | What is LDAP? – https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/what-is-ldap
Wikipedia | Lightweight Directory Access Protocol – https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
Redhat | What is lightweight directory access protocol (LDAP) authentication? – https://www.redhat.com/en/topics/security/what-is-ldap-authentication
Okta | What Is LDAP & How Does It Work? – https://www.okta.com/identity-101/what-is-ldap/
Samsung SDS | 알아두면 쓸데있는 LDAP – https://www.samsungsds.com/kr/insights/ldap.html
Microsoft | Enumerate locked out user accounts using Saved Queries – https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enumerate-locked-out-user-accounts-saved-queries