Embed Size (px)
Citation preview
Active Directory 인프라구축 제안
1 추진배경
2 프로젝트범위
3 프로젝트구축방안
4 프로젝트운용및유지보수방안
5 기대효과
6 마스터 플랜
7 별첨
1. 추진배경
확장가능한인프라구축표준화된정책기반의사용자
및 PC 관리필요통합된관리기반필요
자산관리고도화
• 국내외사업장및지사로의확장을
제공하는인프라구축
• 향후추가기능의통합확장가능한
인프라구축
- 싱글사인온
- 유무선통합인증관리
- 매체제어
- Identity & Access Management
• 전사의표준화된 IT 환경부재로인
한과제발생
- 표준화된사용자및 PC 계정, 보안정책등의미비로인한관리의
복잡함과보안적도전과제발생
- 표준화된사용자및 PC 설정및
정책미비로인한 Help Desk의부
담
• 다양한솔루션 (PMS, DMS, 문서
보안등)의사용으로인한과제
발생
- 서로다른관리자에의해별도의
솔루션관리및운영
- 각솔루션별에이전트배포및
관리의어려움
- 각솔루션별다원화된기술
지원포인트
• 효율적인통합자산관리환경의
필요
- 패치관리의효율화
- 소프트웨어라이센스관리및
불법소프트웨어제한의효율화
- 소프트웨어배포의효율화
- 원격을지원을통한 Help Desk 업무의효율화
사용자개별적환경 다양한솔루션의산재
Active Directory 기반의인프라스트럭쳐구축및
SMS 2003를통한 통합자산관리환경구현
개선과제
목적
1. 추진배경과목적
효율적인자산관리필요
“ 사용자및 PC 관리효율화및
사용자환경개선”
확장성을제공하는인프라
기업환경변화로인한 IT업무증가
기업환경의변화에따른 IT 업무의증가에의해기업내시스템의규모및시스템별계정정보가증가하였으며Directory 내산재됨
그룹웨어관리
유-무선랜인증
PC패치관리
매체제어
문서보안
PC자산관리
메일보안
IP 관리
관리자
IT 업무증가의영향
• 솔루션신규도입및기존솔루션변경이
증가함
• 각솔루션별독립적인계정이존재하여이에
대한개별계정관리가필요함
• 계정정보를담고있는 Directory가각
솔루션에분산되어있어계정정보가산재됨
솔루션
인사연동
인사시스템
계정관리
계정정보산재
1. 추진배경 - 통합디렉터리의필요성
• 중복투자로인해계정정보관리비용이증가함
비용증가
• 일관된정책관리의부재로인한보안취약점이발생함
보안취약성
• 각시스템에접근하는데에번거로운절차필요
End User의불편
계정정보산재로인한문제점
Directory 내산재된계정정보로인한비용증가, 보안취약성및 End-user의불편을해결하기위해통합 Directory 관리가필요함
통합 Directory 관리
솔루션
인사연동
인사시스템
계정관리
통합 Directory 관리
• 중앙 Directory 관리를통해각솔루션에산재된계정정보를통합관리하여각종문제점을해결할수있음
1. 추진배경 - 통합디렉터리의필요성
효과적인사용자계정관리
인사 DB
• 사용자계정의추가/변경/삭제시각 DB 및솔루션에즉시반영됨
• 사용자/그룹별네트워크접근권한및 Application 사용권한등각기다른정책적용가능
변경사항발생
그룹웨어
이메일
어플리케이션
추가작업없이
연동되어즉시반영
사용자계정을다양한솔루션상에서통합관리할경우각종정보의자동업데이트및효과적인보안관리가가능해짐
기대효과
• 각사용자계정정보가신규인원입사, 승진및퇴사등의경우에인사DB 등과자동으로연동되어별도의추가작업없이최신주소목록등을이용할수있음
각종주소록및정보자동업데이트
• 이메일, 그룹웨어등솔루션에따라분리되어있는사용자계정의네트워크접근권한및각종보안Level을통합적으로관리할수있음
• 사용자개인/그룹/전사에대한보안정책을효율적으로적용가능함
효과적인보안관리
1. 추진배경 - 사용자계정관리의이점
PC 계정관리를통하여단일 PC 및그룹에대한효과적인정책적용및관리가가능함
효과적인 PC 계정관리
• 단일/그룹 PC 계정의각종네트워크접근권한, 문서읽기및수정권한등의관리정책을구분하여적용할수있음
Group A
Group B Group C
Policy A
Policy B Policy C
기대효과
• 배포할소프트웨어의그룹별패키지를생성하여각그룹별관리정책에따라소프트웨어배포및각종패치관리가가능함
소프트웨어의일괄배포및패치관리
• PC자산에대한파악, 통제및예측이통합적이고효율적으로가능함
효율적인하드웨어/소프트웨어자산관리
• 개인업무용 PC, 공용 PC 등용도및소속부서등에따라각기다른보안정책을적용할수있음
효과적인보안관리
1. 추진배경 - PC 계정관리의이점
Microsoft Active Directory로사용자계정과 PC 계정의통합관리를할수있음
SMSAD
사용자및그룹생성
사내망접속허용 비인가 PC 및사용자에대한사내망접근차단
Active Directory의통합계정관리
인사 DB와의연동
사용자계정관리
네트워크접근
PC사용인증
사용자/PC원장DB
방문자
HR계약직
인사데이터베이스
사용자/PC계정관리를통한 PC사용인증
1. 추진배경 -Active Directory를 통한통합된계정관리
Active Directory Infrastructure로각 Point solution에대한효율적관리가가능해짐
Active Directory 기반구조구축
AD Directory Infrastructure
자산
관리
SW
배포
문서
보안
패치
관리
매체
제어
유무선
인증
• AD 기반으로통합된포인트
솔루션을통해각포인트
솔루션의사용자및 PC 계정에
대한통합관리가가능함
• AD를윈도우시스템관리
Infra로구축하여자산관리, SW 배포등의기능을수행하는
포인트솔루션을 AD 기반으로
통합함
기대효과
1. 추진배경 – 통합계정기반의인프라스트럭쳐구현
2. 프로젝트범위
기존시스템(HR…)
계정관리 workflow동기화
•웹어플리케이션 통합인증
•PC Lockdown•패치관리•설치자동화및환경표준화(BDD)
SSO
MIIS
단말이행
PC보안자산관리
*MIIS : Microsoft Identity Integration Server , ID연동솔루션
PC보안강화및환경표준화
AD 인프라구축
계정동기화시스템구축
통합디렉터리서비스
협력사 PC
연구원 PC
•소프트웨어 배포관리및정책기반의 PC보안구성강화
• H/W 현황• S/W 현황
자산관리
AD인프라구축프로젝트는 PC보안, 계정보안등의보안향상을제공하며, 네트워크보안시스템, IP자동관리, 자산관리등다양한기반솔루션을보완해줄수있는통합관리인프라를구축하는 프로젝트임
2. 프로젝트 범위
윈도우시스템관리개선Active Directory를활용하여다음과같은단계별로윈도우시스템에대한관리환경을개선할수있음
• 사용자중앙인증환경구
현
• 데스크톱도메인참여및
도메인로그인수행
• Active Directory를활용하
는단계에필요한다양한
정책설계및적용
• 정책의효율적인적용을
위한 OU 구조설계
• 계정정책, 데스크톱관리
정책, 응용프로그램설정
자동화, 등의정책적용
가능
• 윈도우업데이트(패치)의사내배포자동화
• 자산관리혹은소프트웨
어배포관리와함께 SMS 2003 기반으로구축
• 사용중인윈도우시스템
에대한하드웨어및소프
트웨어인벤터리기능구
현
• 하드웨어인벤터리및윈
도우패치상태정보수집
• 소프트웨어인벤터리및
소프트웨어사용현황정
보수집
• SMS 2003 구축
• 보안패치관리고도화
• 주요업무용프로그램들
에대한배포설치기능
구현
• SMS 2003 구축
소프트웨어배포관리
자산관리기능구현
보안패치자동화구현중앙집중형정책적용
Active Directory환경구축
• 기대효과 : (1) 윈도우데스크톱관리기능향상
(2) 윈도우데스크톱보안수준향상 (정책설정및패치배포)
• 기대효과 :(1) 윈도우데스크톱관리기능향상
(2) 사용중인자산에대한정확한현황파악및투자자료
활용
(3) 소프트웨어배포자동화로생산성향상
2. 프로젝트 범위 (계속)
윈도우업데이트정책컴퓨터보안정책기본도메인제어기정책기본도메인정책
• Active Directory에전사적으로적용되는정책
• 패스워드관리정책적용(1) 변경주기(2) 최대/최소유효기간(3) 최소길이(4) 히스토리저장개수(5) 패스워드복잡성적용(6) 암호화강도적용
• Active Directory 도메인제어기에적용되는정책
• 감사정책(1) 계정로그온이벤트(2) 계정관리(3) 디렉터리서비스접근(4) 로그온이벤트(5) 정책변경(6) 시스템이벤트
• 사용자권한지정정책(1) 로컬로그온허용(2) 시스템 Shut Down
• 로컬로그온시경고정책메시지정책(1) 메시지타이틀(2) 메시지내용
• Active Directory에포함된서버및데스크톱에대한보안강화정책
• 네트워크접근정책(1) 네트워크에서익명으로로컬계정검색허용않음(2) 네트워크에서익명으로로컬계정및공유검색허용않음
• Null Session(주1) 제거정책
• 시스템서비스정책 (데스크톱)(1) Help and Support(2) Remote Registry(3) Automatic Update
• 로컬로그온시경고정책 (서버)(1) 메시지타이틀(2) 메시지내용
• 인터넷익스플로러설정제어(1) IE 보안설정중앙제어
• XP SP2 보안설정제어(1) 방화벽설정제어(2) IE 설정제어, Pop-Up 제어등
• Active Directory에포함된서버및데스크톱에대한윈도우업데이트정책
• 윈도우업데이트정책(서버)(1) 자동업데이트적용(2) 지정된시간에업데이트알림(3) SUS 서버지정
• 윈도우업데이트정책(데스크톱)(1) 자동업데이트적용(2) 지정된시간에업데이트자동설치(3) 설치후자동재시작(4) SUS 서버지정
정책기반의윈도우시스템중앙관리Active Directory를활용하여다음과같은보안설정들을중앙에서정책기반으로관리할수있음
2. 프로젝트 범위 (계속)
3. 구축방안
사용자 ID 체계의통일, 액세스 관리의일원화, 보안정책등의 IT 관리를강화.사용자 관리업무나, 장래의 시스템추가에 있어서도, 최대한의 확장가능.각부서단위가 아닌, 중앙의전임관리자에 의해서 일관적인 서비스를전사에 제공가능.
IT 관리자
Active Directory에의해 ,전사레벨로표준화된 IT 환경
Active Directory사용자 ID /보안그룹, 네트워크자원의일원화된관리기반
IT governance을통한표준화의장점·사용자 ID관리 체계, 서버자원에의액세스권한 ,
Password 정책등의 Security level의통일· 효율적인 표준화된사용자관리· 일관된 IT service level의제공.
글로벌 Directory Service가없는 IT 환경
비즈니스의지속성에부정적영향・부서나시스템별로산재된 분산된 IT환경・보안레벨이가지각색・비효율적인방법의중복작업 수행
3. 구축 방안 – AD 기반의 PC/사용자 관리의 표준화
Active Directory
다양한정책을배포가능
・보안Template주요보안관계의 설정을집약한설정항목
・IP Security 정책Packet filtering이나 IP의인증·암호화의 설정
・관리 TemplateOS나어플리케이션 마다기본설정항목 Template
계정보호불필요한포트를막는다
인프라서버
desktop 설정PC 보안설정서비스의정지Windows방화벽설정소프트웨어 제한기타
클라이언트(Windows XP/2000)프린트서버파일서버
삭제나무효화에의한불필요한기능을배제
Active Directory에의해, 서버의역할마다 그룹화가능.역할별로분류된그룹에따라보안설정을 Active Directory의그룹정책으로일괄설정 및적용가능.
서비스의정지desktop 설정
컴퓨터정책 컴퓨터정책컴퓨터정책
컴퓨터정책및사용자정책
Active Directory의 그룹정책에의해 PC 역할별로 보안/구성 설정을정책으로서, 일괄적으로 관리하고자동배포.PC 보안 강화를위한다양한 설정을 Active Directory에서 집중관리 하는것으로, PC의보안설정 관리/운용의효율화를 도모
3. 구축 방안 – PC 보안 정책 적용
RADIUS인증
무선LAN 유선LAN
RAS VPN무선LAN
VPN
유선LAN
RAS
네트워크인증
스마트카드로그온
Active Directory
사용자/ 그룹의관리 액세스권한의집중관리 루트인증서배포(향후) CRL공개, 인증서배포(향후)
GroupsACLs
도메인인증
InternetExplore
Web 서버로서기능 SSL 클라이언트 인증으로
액세스제어가능
Internet Information Service (IIS)
SSL인증
EFS*S/MIME 코드서명메일
인증서서비스(향후)(CertSrv)
CA 서버로서기능 Active Directory와 연동,
Windows 계정과연결된 사용자인증서를발행
인증서갱신/배포도 Windows 계정으로연동한자동화가가능
계정연동
사용자계정인증
인터넷인증서비스(향후)(IAS)
RADIUS 서버로서 기능 인증용데이터베이스로서
Active Directory을 이용
사용자/ 서버인증서자동갱신/배포
사용자계정인증
사용자 계정매핑을 자동화하여, 서비스 사용자관리는 Active Directory으로 일원화 가능.향후 Active Directory, CA 서버, PKI 클라이언트 전체를 Windows 표준기능으로 구현 가능.향후 PKI를인트라넷으로의 확장을 통해, 강력한보안인증기반 구현.
3. 구축 방안 – AD 기반의 통합 인증 환경 구현 (SSO)
SMS은유연한 스케줄링, 고도의 Installation 제어의구조를 갖는소프트웨어 배포기능제공.구성정보를 근거로유연한 targeting, 임의의 지정조건에 부합되는 PC의자동검색/배포 가능.관리자권한의 인스톨 기능에의해, 로그온사용자의 권한과 상관없이소프트웨어 인스톨가능
AD기반으로사용자
권한을제어하는환경
SMS 관리권한인스톨
• 로그온사용자권한과상관없이, SMS를통한 S/W 설치가능
사용자레벨의인스톨은제한
서버PC
소프트웨어배포대상
그룹의설정
업무용 S/W배포대상
배포요건부합PC 그룹
배포대상의그룹화
• 구성데이터를기반, 배포대상PC를임의의그룹화/관리
• 특정조건에부합하는 PC를자동발견및자동배포가능
조건일치 PC의자동발견
검색된 PC로의자동배포
고도의인스톨제어
•인스톨실행및재부팅전, 카운트다운대기
•스케줄링및강제배포, Pull 배포
•스케줄링의반복실행
•패키지인스톨
관리대상PC 구성데이터
3. 구축방안 – 소프트웨어 자동 배포
- 1안: 기사용중인 Inciter를사용한패치관리시스템사용– AD 환경적용을위한커스터마이징필요
– 패치현황분석을위한로그커스터마이징필요
Microsoft Update에서
최신업데이트프로그램
카탈로그를다운로드
업데이트프로그램구성데이터 최신의카탈로그에의한업데이트프로그램의
감사를대상 PC에서수행, 그결과를수집
• 감사결과의분석/리포트
• 배포계획수립
• 배포현황확인
• Compliance 보고서
MicrosoftUpdate
Microsoft Update 에서업데이트프로그램다운로드, 배포계획에따라 SMS를통해배포.
-2안: SMS를통한 패치관리사용–SMS2003에서는, Microsoft Update와의연동을통해, 정확성높은패치관리기능을제공.–관리대상 PC의업데이트프로그램적용감사를수행, 다양한용도의웹리포트생성.–Microsoft Update와연동, 고도의스케줄링이나재부팅제어가가능한업데이트배포기능제공.
3. 구축 방안 – 패치 관리
사내에존재하는 PC에서자동적으로 하드웨어나 시스템에관한구성정보를 수집.정확성이 높은정보의 자동수집과 리포팅에 의해작업비용절감가능.최신데이터의 사용가능으로 Inventory・Helpdesk・조달등의업무효율화・신속화의 구현.
하드웨어구성데이터
구성의파악하드웨어・시스템구성의관한최신정보의자동수집탑재되어있는하드웨어드라이버의 종류・버전OS、서비스팩、업데이트프로그램등
구성의분석
웹보고서에의한구성정보분석존재하는 PC 수량및종류를파악및리포팅필요한구성정보를 즉시확인, 신속한대응이가능업데이트프로그램이나서비스정보 등을보안 정책에활용가능
구성의변경
Helpdesk 업무하드웨어교환에활용현지에방문전, 원격에서구성파악가능.수집구성데이터를기반으로부품의사전조달SMS 원격지원툴의사용
자산관리・Incident관리・조달데이터와연동기존의자신대장・데이터와의 제휴이용ISV 제품과의제휴Microsoft Office 제품과의제휴
3. 구축 방안 – 하드웨어 자산관리
사내에잠재하는PC에서 도입된 소프트웨어에 관한 구성정보를 자동적으로 수집.정확성이 높은정보의 자동수집과 리포팅에 의해작업비용절감가능.최신데이터의 사용가능으로 Inventory・Helpdesk・조달등의업무효율화・신속화의 구현.
소프트웨어구성에관한최신정보의자동수집• 도입후소프트웨어• HDD상의 파일• 지정한 실행파일의실행이력 등
소프트웨어구성데이트
Web Report기능에의한대장관리• 도입후소프트웨어집계리포트• 특정의소프트웨어나 파일이존재하는
PC의일람리포트• 각 PC의 도입상황리포트등• Export・인쇄도가능
라이센스관리・자산관리소프트웨어와의제휴• 기존의라이센스대장과자신대장과의제휴이용
• ISV제품과의제휴• Microsoft Office제품제휴
소프트웨어배포• 전개전의 정보수집• 대포대상PC의 선별• 전개Status관리• 전개후의 갱신된
PC구성정보의 수집
3. 구축 방안 – 소프트웨어 자산관리
SMS의원격관리기능에 의해서, 현지지원이필요한 문제·장애작업을 원격에서수행 가능.이동시간의 절감, 그리고 관리자가 원격에서 즉시진단을행하여, 지원업무의 신속화·효율화를 실현. 또한 SMS S/W 배포기능을 이용해, 관리명령이나 스크립트를정기적으로 원격에서 자동실행하는 것이가능.
Systems Management Server SP1, (Windows XP 원격 desktop·원격 assistance)
SMS 2003 원격툴기능Windows 2000Windows XPWindows Server 2003Windows NTWindows 98
원격 desktop와의연동Windows XPWindows Server 2003
원격assistance와의연동Windows XPWindows Server 2003
• 원격제어• 파일전송• 원격재부팅• 원격명령실행• 원격구성진단… 등
관리명령• batch 커맨드• 스크립트• 실행파일
원격제어: 컴퓨터의직접원격제어·유지보수를실현
원격명령: 컴퓨터상에서, 관리·유지보수커맨드를원격실행
• SMS2003 소프트웨어배포기능의구조를활용관리자권한에서의커맨드실행
• 그룹상태에서의실행• 고도의스케줄링이나반복정기실행
3. 구축 방안 - PC 원격 지원의 효율화
Microsoft사의 MIIS 서버를활용하여인사정보와 AD간 사용자계정 / 조직정보 / 권한관리그룹등의동기화구현으로생성/변경/폐기등의변화관리를자동으로수행하도록함
삼성전자(반도체총괄, 본사), SK주식회사, 삼성건설등
동기화연동설계 주요업무내용
고려사항
조직정보동기화
입사자및최초등록자 계정생성
퇴사자및사용기간초과자 계정사용
제한
일정기간미사용자계정 사용제한
조직개편으로인한조직 변동반영
권한관리용그룹동기화
자원공유 (파일/프린터)를 위한그룹
생성
부서단위그룹관리
현장단위그룹관리
부서및현장단위의관리
사번 한글이름 EMail 주민번호 부서코드
111 박경희 Kh.park 910912-2234567 1245302
222 박성진 Sh.park 661008-1234567 1245300
• 조직정보 Directory 정보
부서코드 부서명상위부서코드
1245302 경영혁신팀 1245300
1245303 정보전략그룹
1245302
PreMIIS
MIIS• User 계정관리• Group 정보관리
• 조직정보관리• Group 정보생성• Group membership 관리
• User • OU• Group
Active Directory
인사DB
• 사용자 Directory 정보
* MIIS : Microsoft Identity Management Server
Application
3. 구축 방안 – 인사정도 동기화 구현
DFS 서버구현
– 전체관리자는 DFS Root서버에루트폴더작성
– 부서공유폴더를호스팅하는 DFS Link 작성
– 공유폴더에대한권한은관리자가지정한부서의구성원만접근권한보유
복제서버구현
– 부가적으로 Replica Server들을배치하여 NLB와 Fault Tolerance를구현
– DFS 루트를호스팅하는서버가문제시그복제본서버가사용자들의요청시응답
– 또한동일한링크경로정보를복제서버가유지하므로정상적인요청시다수복제서버가응답가능하므로마스터서버에대한요청을분산하는효과제공.
파일서버1Dfs Root(Master)
파일서버2Replica
Dfs Root
KAERI
기획부
행정부
KAERI
기획부
행정부
AD
기획부
예산과
부서단위
파일서버1
총무과
인사과
행정부
Dfs Tree 구조
KAERI
기획과
예산과
총무과
인사과
Dfs Root
Dfs Links
부서단위
파일서버2
기획과
3. 구축방안 – DFS (자원공유)
BDD 주요업무내용
Validation OS 설치가능여부확인(DISK등)
State Capture 사용자상태를저장
Pre-Install OS 배포를위해 Windows PE 배포및
실행, Disk 초기화작업수행
Install OS 배포및설치
Post-Install개인환경에맞게설정변경
State Restore백업한사용자상태복원 및설치시
사용한임시파일삭제
새 PC의경우 Validation & State Capture 단계불필요
3. 구축 방안 – OS 배포 (BDD)
신규시스템, 시스템재설치등의작업을위해, 미리생성된시스템 OS 이미지를사용, OS 배포/설치등의작업을자동으로수행함.
•Active Directory + DNS
•DHCP
•SMS 2003 with sp2
•SMS 2003 OSD FP
•MS SQL Server
•IIS 6.0 Bits
1.Validation
2.State Capture
3.Pre-Install
6.State Restore
5.Post-Install
4.Install
DHCP
Server
DHCP Event
MonitorIP 요청
IP 할당
IP 할당정보저장
로그인
로그인스크립트,
ID, MAC, IP 추출프로그램
Active Directory
DHCP 주요업무내용
DHCP 서버
DHCP Server를통해, 자동으로
사용자 IP 할당
DHCP IP 할당정보
DHCP Server IP 할당 & 해제 Event 모니터링및정보저장
사용자로그인정보
로그온사용자, 로그온 시스템정보
저장
IP 추적
IP 할당정보와로그인 정보를조합
특정 IP 사용시스템및 사용자정보조회
DB
3. 구축 방안 – DHCP 및 IP 추적 시스템
DHCP Server를사용, 클라이언트시스템에자동으로 IP를할당, 사용자의위치이동등으로인한 IP 변경사유발생시별도의작업없이네트워크를사용할수있도록함. 할당된 IP 정보및사용자로그인정보를수집, 관리자가특정 IP사용내역조회등 IP 추적시스템을구축하여보안을강화함
4.프로젝트이행
인프라프로젝트의성공을위해서는충분한스폰서쉽을보유한인력의투입, 적절한인력에의한합리적인정책, 정책을뒷받침하는합당한프로세스의정의가요구됨.
인프라구축 PC보안강화및사용자환경표준화HR연동 IdMS 구축
Action Item
Process
People
Policy
4. 프로젝트 이행 – 이행 단계
AD 도입時, 가장대규모작업으로예상되는사용자 PC의도메인가입및사용자환경전환을원활히수행하기위한자동화도구. adDeployCenter+는도메인이행에필요한데스크톱 PC의구성변경및기존사용자의데스크톱환경(내문서,즐겨찾기,배경화면,바탕화면,레지스트리등)을 새로운도메인사용자환경으로전환함삼성전자(반도체총괄,중국법인,DM총괄,LCD총괄,TN총괄), LG전자, 대한항공, SK주식회사, 포스코건설, 현대산업개발, 조선호텔, 동우STI 등
User’s Desktop
Domain User(ADDC를 적용한경우)
Domain User(Manual로작업한
경우)
By M
anual User State Migration My Documents
Desktop / Wallpaper Favorites
Quick Launches Registry
Personal Application Settings Personal Environment Variables
By ADDC+
• 국내최초개발
• 최고의전환성공률 (97%이상)• 빠른전환속도 (10~15분)• 순수 Windows API를이용한 모든기능통제
• 도메인전환현황중앙모니터링 제공
• 다국어버전지원 (한,영,중문)• Workgroup to Domain 전환지원
• Domain to Domain 전환지원
• Domain to Workgroup 전환지원
adDeployCenter+ (도메인이행도구)
4. 프로젝트 이행 – 위험 대처방안 (Client 전환 Tools 사용)
대량의데스크톱이행은아이큐패드社의 adDeployCenter+를사용하여스케쥴기반의자동화된플로우에따라수행함. 각단계별실행결과는중앙에서상황판을통해모니터링할수있음
삼성전자(반도체총괄,중국법인,DM총괄,LCD총괄), LG전자, 포스코건설,대한항공등
ActiveX 배포adDeployCenter+
Agent InstallComplete
Agent Install
AD Join & Profile
Migration
Start adDeployCenter+
Assign
InventoryReport
• adDeployCenter+ Agent가사용자PC에설치됨
ConfigureNetwork Info.
Discovery
• 사용자 전환메인프로세스 수행
• 지정된스케쥴에adDeployCenter+ Agent 실행
• AD에 Join• Reboot
• DNS IP 설정
• WINS IP 설정
• Computer 이름변경
• Reboot
• 설치완료
• 인벤터리확인
및보정
• Email을통해 Agent Install용 ActiveX 컴포넌트를 메일발송
• 사용자확인후자동설치
• 자산관리및패치
자동화적용
• Push Install 적용
(W2K, WXP)• Logon Script
Install(W98, WNT)
• Setup 프로그램
실행
ProfileMigration
SMS AgentInstall
User Input &Validation Domain Join
Agent Install
ConfigurationDispatch
• Migrate User Profile• adDeployCenter+
Agent 제거
• Reboot
• Email ID 입력
• User Validation
• Launching adDeployCenter+ Agent
• PC Discovery
• SMS Site에Assign
• Scan H/W & S/W Inventory
• Upload Inventory
• Dispatch Configuration Info.
도메인전환일정입력(사이트및네트워크세그먼트別)
4. 프로젝트 이행 – 위험 대처방안 (Client 전환 Tools 사용)
5. 기대효과
정보근로자생산성향상을위한인프라조성
중앙관리기반구축윈도우시스템
보안관리기반확보자산관리프로세스고도화의초석마련
추진과제
시스템보안및자산관리고도화
현황&
개선사항
• 중앙에서의소프트웨어배포및
사용자에게쉬운설치방법을
제공
• 사용자의소프트웨어사용권한을
중앙에서제어, 안전한환경유지
• PC 부팅時, 사용자로그온時수행
스크립트적용가능
• 개인별, 조직별, 업무별 PC의일관성있는정책적용가능
• 사용자별, 그룹별, 부서별(OU) 차별화된정책적용가능
• 사용자기반의네트워크추적
• 사용자및컴퓨터의이름규칙
적용
• 중앙집중형계정관리
• 관리자계정의통합관리가능
• 윈도우업데이트에대해시스템에
의한정확한보안업데이트적용
• 시스템에의한정확한적용율
분석가능
• 사용중인 PC 자산에대한 H/W & S/W 자산현황관리
• PC별이력관리
사용자개별적환경 보안패치및설정적용미비 실시간자산관리 소프트웨어배포및관리
중앙관리 소프트웨어관리보안관리 자산관리
역 량 강 화
Active Directory Infra. 구축을통한윈도우시스템최적의관리기반확보
5. 기대 효과 – 정성적 효과
로그온
항목 AS-IS TO-BE
• 자신의 PC만로그온가능• 타시스템로그온필요시, 해당시스템로그온정보를알아야만한다.
• 사용자는지정된 PC에서만로그온이가능하게할수있다. (AD 속성설정으로가능)• 사용자는타시스템에도로그온이가능하다.(기본사항)• 자신의로그온 ID / Password로로그인한다• 타시스템에서도자신의 PC와동일한환경으로사용할수있다.• 한번의 PC 인증으로 AD 환경하의자원을추가인증없이사용할수있다.
계정 / 암호
• 규정된암호정책이없다• 로컬계정에대한관리가되지않는다.
• AD 인증으로 SSO가구현되므로, 타시스템(어플리케이션) 접근시별도의계정, 비밀번호를별도관리하지않아도된다.
• 자신의 PC를다른사용자가사용하게하기위해, 자신의계정정보를알려주거나별도의계정을생성할필요가없다.
• 타인에게자신의 PC 자원중일부만사용가능하도록제어할수있다.(로컬로그온시에도가능)
컴퓨터
사용환경
• 사용자의 PC는워크그룹으로각기다른환경으로구성되어있다.
• 사용하려는프린터정보및설치를헬프데스크를통해서지원받는다.
• 부서이동등으로인해 PC 위치이동시IP를변경하여야한다
.
• 모든시스템에서자신의 PC와동일한환경으로사용할수있다.• 사용자에게필요한소프트웨어를자동설치할수있다.• 사용하길원하는프린터정보를쉽게찾아서설치할수있다.• AD 도메인내의자원사용시별도의인증없이사용이가능하다.• DHCP 사용시사용자가수동으로 IP를설정하거나, 변경할필요가없다.
공유• PC별사용자가권한설정및계정생성• 불특정다수에게자원공유(보안취약)
• 조직변동으로인한조직구성원의권한자동적용• 자원공유를위해별도의계정생성또는필요한사용자(또는조직)에게만권한부여가능(보안강화)
• 자원공유권한의 Life Cycle 관리의자동화
5. 기대 효과 – 사용자 관점에서의 To-Be Image
사용자계정생성 및변경
패스워드관리
사용자계정은인사데이터베이스에서자동으로생성되며, 조직정보를이용해서해당하는조직단위(OU)로 자동배치되며, 사용자의부서이동에따라 AD의 조직단위도자동으로변경됨
중앙관리
정책설정
소프트웨어배포
패치배포
기본적으로사용자가본인의패스워드를관리하지만, 관리자는패스워드를잊어버린사용자에대한재설정(Reset) 권한을갖는다.
비밀번호사용기간(주기적 변경), 복잡도, 실패시계정잠금, 히스토리저장으로보안을강화할수있다.
적용할보안및관리정책을설정하고다음의어떤방식으로정책을부여할것인지결정하고설정한다. 사용자는부서이동에기반해서바뀐부서의정책을자동으로부여받게된다.
사용자기반의정책 : 사용자계정별로적용할정책을구별, 설정테스트
컴퓨터기반의정책 : 공용 PC인 경우, 컴퓨터별로적용할정책을구별, 설정및테스트
배포할소프트웨어의패키지를생성하고대상컴퓨터들을선택하고배포방법을선택해서배포한다.
마이크로소프트의윈도우업데이트서버로부터패치목록이자동으로다운로드되면, 관리자는필요한패치종류를선택하고승인을한다.
강제배포인경우, 관리자는패치패키지를생성하고대상컴퓨터를선택후강제배포한다.
패치배포는다음의 2가지로가능하며, 배포방식에따라관리자가갖는부담에차이가발생한다.
유휴사용자및퇴사한사용자에대한관리
Active Directory의정책에의하여일정기간사용하지않는계정은자동삭제가되며, 퇴사한사용자의경우, 인사데이터베이스와연계,
자동삭제된다.
5. 기대 효과 – 관리자 관점의 To-Be Image
6. 마스터플랜
사내계정단일화및통합
Credential관리
IDMS
정책DB
사용자계정단일화 :
IDM
PC 계정단일화 (Managed PC Infra.) :
Active Directory
서버UNIX
Windows
계정및패스워드
Sync.
PKI &
Kerberos Ticket
Identity(Who, What)
Identity
(Who, What)
사용자
ID Lifecycle 관리 Authentication Authorization Federation
유선 LAN 무선 LAN VPN SSL인증
ID/PW
통합PC 관리및보안
APPL
시스템
사내APPL
정보근로자협업시스템
Identity(Who, What)
N/W 액세스 관리(사내 망 액세스)
서버 관리인프라
서버모니터링
구성관리
통합서버관리(현장인프라포함)
SMS MOM
패치관리
용량관리
PC 관리 인프라
패치관리고도화
소프트웨어배포
HW/SW인벤토리
원격지원
통합 PC 관리
SMS
표준이미지배포BDD
DRM
PC보안정책
매체제어
PC환경설정
통합 PC 보안
보안솔루션
RADIUS
유선LAN
N/W 액세스격리
VPN 무선LAN
802.1x
APC ETC
NetworkAccess
Protection& 격리
데이터
현장액세스
IP관리
DHCP
6. 마스터 플랜
5개의과제 영역별활용 방안은다음과같습니다.
전사 AD 확장서버/PC 관리인프라
전사 IDM 구축 APP 통합인증네트워크액세스관리
전사인증통합
全社 AD인프라구축 全社 PC의 AD 도메인Join 및사용자의도메인인증
통합서버관리 사내서버관리(MOM)
PC 관리인프라구축H/W, S/W Inventory, 패치, S/W 배포, 원격지원관리, BDD
PKI 인프라구축및확대네트워크액세스통제
802.1x, VPN, DHCP에대한사내네트워크격리구현 Unmanaged/Unhealthy PC에대한사내네트워크액세스차단
네트워크인증통합 802.1x를통한유무선네트워크통합인증구현
ID Lifecycle 관리구현 MIIS 기반의전사 IDM 확대구현타시스템/디렉터리동기화확대외부협력사계정관리시스템구현
APP 인증통합 AD Aware 한 APP 인증통합 Non-AD Aware APP 인증통합
공통권한관리구현사내 APP 및시스템에대한통합권한관리시스템구축
정보근로자협업환경구현
팀/부서단위협업공간 Office SPS 2007를통한부서단위의문서공유및협업 Workspace 구축
기존의메시징및협업인프라와의연동
실시간협업환경구현 기업인스턴트메시징구현 VoIP 구축및통합 Web Conferencing 구현
6. 과제별 활용 방안
IAM
全社AD인프라구축
Credential
Management
디렉터리
2006 2007 2008 2009구분
공통권한관리구현
공통권한DB
Legacy 시스템
메시징&
협업
DIR
개별관리형
통합관리형
권한매핑형
신규개발 시스템
AD Aware APP들
APP 인증통합(자동)
전사Whitepaper
Digital Identity Aware Service
全社 IDM 구축
ID Lifecycle 관리구현
디렉터리 Sync. 확대
MIIS 동기화정비및강화
全社認證통합
통합
, 최소화
통합
, 중앙화
단순화
, 자동화
메시징인프라개선
협업시스템도입
APP 인증통합(솔루션)
네트워크인증통합
EPM 도입
AD Aware APP 인증통합(Exchange,
SPS, LCS 등)
Non-AD Aware APP 인증통합
802.1x 적용, 유무선통합인증, VPN 인증등
PC 도메인 로그온 및
로그온 Credential 생성(PKI 기반)
Exchange 도입
SPS 도입, LCS
IBN 방화벽구축
Identity Aware Firewall (ISA)
전사 AD 적용강화
메타디렉터리
통합 PC 및서버보안
PC보안, 데이터보호, 매체제어,DRM , 패치관리고도화
통합서버관리
성능, 장애, 이벤트모니터링
Sync확대출입관리/네트워크 관리시스템 등
PKI 인프라구축
정책적용, 전사 PC 도메인전환강제화
全社권한관리구축
AD와 통합되는 PKI 인프라구축
원격네트워크액세스 QuarantineVPN 네트워크 Quarantine
유선네트워크Quarantine
디렉터리통합
AD 구축, 디렉터리동기화, SSO, BDD
6. 단계별 추진 계획
TO-BE 네트워크액세스관리
정의
네트워크 액세스 통제를 통한 사내 IT 인프라의 보안 강화
추진
목표
디바이스인증 인프라와네트워크액세스 통제 환경을 연계하여액세스
환경을 고도화
유.무선에 대한 802.1x기반의 단일화된 인증 시스템 구현
- 802.1x 인증을 통해서 안전한 액세스 지원
네트워크와 디바이스 인증의 단일화
네트워크 격리 (NAP 구현)
- 유.무선, 원격에서 접속하는 시스템을 격리하여 회사의 정책적용,
액세스 통제 및 취약점을 치료할 수 있는 환경 구축
- 유해 트래픽을 유발하는 네트워크 리소스를 안전하게 격리하고 치료할 수
있는 환경 구축
구축
의미
디바이스인증 인프라와네트워크액세스 통제 환경을 연계하여액세스
환경을고도화 ->
AD 기반의 인증 인프라와 액세스 통제 환경을 통합하여 인증된
사용자 및 PC만 사내 네트워크에 접속할 수 있는 보안이 강화된 환경을 구현
일관되고 통합된 관리 체계를 마련할 수 있음
사용자의 단일로그온으로 생산성을 높일 수 있음
별도의 에이전트 없이 윈도우 서비스로 제어 가능
Unmanaged, Unhealthy PC에 대해서는 사내 네트워크에 접속하기 전 또는
접속하고 난 후 격리구간을 따로 구현하여 사내 보안 Level을 충족시키지 못하는
PC는 접속을 차단하여 사내 인프라에 대한 잠재적 위험을 최소화 하고,
보안을 강화 시킴
어플리케이션서버
Un-trusted
관리되지않는PC
VPN 사용자
Active Directory DC
Restricted
무선사용자
유선사용자
802.1x 무선 AP
802.1x 스위치
원격액세스서버
Quarantined Network
치료서버
리소스서버
RADIUS 및정책서버
인터넷
6. 과제별 추진 방안 - 네트워크 액세스 관리
세부 과제: 802.1x 기반의유무선통합인증환경을 구현하고, VPN을통한 사내액세스에대한 네트워크격리환경을구축하며, NAP을 통한 802.1x, IPSec, DHCP, VPN 에 대한 네트워크액세스 통제 및 취약점을치료할 수 있는 환경 구축하는 것이 과제 범위임
NAP (Network Access Protection)
VPN Quarantine
802.1x 유무선통합인증1 3
2
Active Directory
원격액세스서버
Group Policy
웹서버
DNS
Quarantine
Policy
사내네트워크VPN 사용자
인터넷VPN 액세스
CM 프로파일의스크립트를실행후, notification 기능수행
Quarantined Network
관리되지않는PC
Un-trusted Restricted
Remediation Server
Network Access Device (802.1x, VPN, IPSec, DHCP etc.)
Active Directory
DCIAS Policy
ServerSystem Health
Servers
Health CertificateServer
Managed PC
* 802.1x 기술을통하여네트워크액세스이전에인증과정을거침 *
Ethernet
유선사용자
802.1x 무선 AP
802.1x 스위치
Active Directory
RADIUS 및정책서버
802.1x Policy Group Policy
무선사용자
* 802.1x 기술을통하여네트워크인증및무선데이터암호화 * 사내네트워크
6. 과제별 추진 방안 - 네트워크 액세스 관리
Active Directory 인프라및 PKI 기술을활용하여비인가자및비인가PC에대한네트워크자동격리기능을보안인프라측면에서구현할수있음. 802.1x 네트워크인증기술혹은 PKI인증DHCP 솔루션을적용하여구현함 – L전자, H社, S社
6. 과제별 추진 방향 – 네트워크 보안 인프라 구축 (802.1x 대안)
Identity Lifecycle Managem
ent App. Layer
Identity Master Record
LDAP
Master Record 생성
Directory Identity생성
관리자
App1 담당자
App2 담당자
APP(4)
APP(1)
APP(2)
APP(3)
APP Identity생성
APP(6)
APP(3)
APP(4)
APP(5)
APP Identity삭제 & 생성
APP Identity삭제
APP(6)
APP(3)
APP(4)
APP(5)
APP(1)
APP(2)
Directory Identity삭제
LDAP
Hire Scenario Fire ScenarioChangeManagement
Identity Lifecycle Management
디렉터리 Infra.를통하여사용자 Identity 관리프로세스는다음과같은형태의사용자생성/변경/삭제프로세스시나리오로구현
MIIS
6. 과제별 추진 방안 – IAM 구축 방향
TO-BE
InternetWIFI /
WirelessRPC over HTTP/s
정보 근로자협업 환경구현
정의
정보 근로자들을 위한 협업 공간 구축으로 생산성을 극대화
추진
목표
팀/부서단위 협업 공간
Office SPS 2007 기반의 협업 공간을 구축하여 팀/부서간 활용할 수 있는
Workspace를 구축
부서 단위의 문서 공유 및 협업 공간을 구축하고 기존의 메시징 및 협업
인프라와 연동
실시간 협업 환경 구현
기업의 인스턴트 메시징 환경 구현
VoIP 구축 및 통합을 통한 실시간 커뮤니케이션 인프라를 구축
Web Conferencing 서비스 구현
구축
의미
팀/부서단위 협업 공간 ->
정보 근로자들이 협업할 수 있는 공간을 구현함으로써 사용자 생산성 향상
효율적인 콘텐트 공유를 통한 보다 쉬운 정보 액세스 및 검색
실시간 협업 환경 구현 -> 기업의 인스턴트 메시징 환경을 구축하여 보다 빠른
의사 결정을 도울 수 있는 저변 인프라를 마련
6. 과제별 추진 방향 – 정보 근로자 협업 환경 구현
인증
권한
OracleSSO
인증
권한
인증
권한1. PC 로그온 2. 각시스템에ID/PW 통해추가로그온
ID/PW
ID/PW
ID/PW
1. AD 도메인로그온
2. Kerberos를통한 SSO
3.EAM을통한 SSO
Application Access Management
ApplicationAccess
RepositoryRoles
Roles
통합디렉토리서버 …
Kerberos Aware
System
Non Kerberos
Aware SystemAgent
Agent
AS-IS
TO-BE
APP 통합 인증
정의
AD 기반의 전사 Application 인증 및 권한 관리 통합
추진
목표
APP 인증 통합
AD 기반의 APP에 대한 인증 통합
-> AD 기반 APP는 기존 AD의 인증 인프라를 통하여 로그인한 사용자 계정이
추가적인 인증 없이 해당 APP을 사용할 수 있는 SSO 환경을 구축
신규 APP에 대한 인증 통합
-> 신규 개발 APP에 대해서는 AD 인증 모듈을 사용하게 하거나adSSO 연동할 수 있도록 구현
기존 Oracle 기반의 APP 인증 통합
-> Oracle SSO 기반 인증 사용 시스템을 adSSO 기반 인증 시스템으로변경, 웹 & C/S 환경 모두 AD 인증 기반의 단일 인증 시스템구축
전사권한관리구현
AD를 기반으로 한 사용자 계정이 각 시스템(웹, C/S)의 사용자 정보와동기화 되게 하여 궁극적으로 모든 사용자 계정에 권한관리가이루어질 수 있도록 함
구축
의미
APP 인증 통합 ->
전사 인증 통합 체계 구축 (True SSO – PC/네트워크/APP)
단일화 된 인증 관리 환경을 구현
어플리케이션과 AD의 인증 통합으로 사용자는 AD를 통한 단일한 로그온으로
연계된 모든 시스템에 접속할 수 있음
전사 권한관리구현 ->
다수의 APP에 접근하는 사용자들에 대한 권한관리를 통합하여 단일화 된
권한 관리 환경 구현
관리자는 해당 APP 마다 개별 권한 관리 체계가 아닌 단일화 된 권한 관리
체계를 바탕으로 관리 부하를 최소화 시킬 수 있음
인증
권한
인증
권한
6. 과제별 추진 방향 – 어플리케이션 통합 인증
사용자데이터보안
PKI 인프라스트럭쳐는인증뿐아니라암호화를위한기반기술 이기술을이용해서사용자는 PC 폴더의내용들을암호하고복호화할수있는환경을구현, 안전한
사무환경을구현할수있고기존에이용하고있는 DRM과연계하여더욱더보안이유지될수있는환경구축가능
EFS
파일키무작위로생성
DES
Temp
DDF
사용자 PublicKey로 암호화된파일키
1
2
3
4
5
사용자Public Key
암호화된파일
6
복구에이전트의Public Key
복구에이전트의Public Key로암호화된파일키
HTTP protocol
wininet
Local EFS encryption
폴더가암호화되었다는것을알려줌
RAW file sent to server DRF
6. 과제별추진방향 –사용자데이터보안
통합 PC 및서버보안고도화
매체제어 - Active Directory기반의매체제어기능구현
저장매체제어
전송매체제어
저장매체 & 전송매체접근통제
정책기반의매체제어관리
관리콘솔에서정책설정을통해조직별/도메인별정책설정/배포
AD 인프라(사용자, 도메인)
저장매체제어
저장매체 & 전송매체
를통한기록을통제하
여원천적인유출방지
허용불허
FDD/HDD/CD-RW
USB / 이동식디스크
유선매체제어
인쇄매체제어
전송매체제어
직렬포트/병렬포트
적외선포트/WLAN
PDA
6. 과제별추진방향 –매체제어
타사구축사례
구축목표 효과
• 모든 MS 제품에대한업데이트 가능
• 정해진시간에패치강제 설치가능
• 패치율상승 (10%미만 -> 90%)
• Null Session 차단을통하여해당 PC의사용자, 그룹정보및 공유목록의접근금지
• AD에등록된사용자만 PC에접속가능
• 권한이있는사용자만공유 자원에접근가능
• AD기반의사용자계정또는그룹을지정하여관리함으로써불필요한계정의 생성을원천적으로차단
• 1회정책설정으로 필요한 S/W 설치 가능
• 자동/강제설치가능
계정관리
S/W 배포
패치관리• 개별적인패치업데이트관리
• WU 사이트에서패치다운로드
• PCMAN을 이용한수동패치배포
• 패치적용모니터링부재
PC 보안강화• Everyone 공유허용
• 보안패치미설치로인한취약점존재
• 로컬계정관리로인한취약점존재
• PCMAN에서 화면보호기제어
• 사용자계정을개별적으로관리
• 조직및인사정보변경사항수동반영
• 퇴사자미삭제와같은보안취약점존재
• 계정정보의부정확성존재
• 개인책임의 S/W 설치및관리
• S/W 원본에대한정보필요
• 단순공지에의존한 S/W 배포
• 자리이동시 S/W 재설치요구
8. 타사구축사례 (S전자)
S전자에서는효율적인사용자계정보안, 패치관리, 정책관리, 자원관리, S/W 관리및 PC 사용환경을관리하는요도로 Active Directory Infra를구축하였음.
구축목표 효과
• 보안사고시 log 확인을통한신원확인및추적성공률 100%
• 확산완료된지역의 Virus 사고율 Zero• P/W, Patch, 취약성제거적용 100%
• 전사 Client 관리(End to End)의일원화
• 유무선통합을통한사내 ubiquitous 환경의기반구축
• 협력업체연결 N/W의보안문제해결
8. 타사구축사례 (L 전자)
L전자에서는클라이언트관리편리성증대와통합보안정책적용을목표로 S/W 배포, 클라이언트표준화, 패치업데이트, 자산관리의인프라로서 Active Directory Infra를구축하였음.
구축목표 효과
단말/PC 보안환경구축
File 자동배포
1. PC Firewall / PC IDS / PC Virus
2. PC 문서보안
3. 비인가 S/W 설치금지
Single Sign On
중앙통제관리시스템
1. DB Replication2. Application 배포설
치
3. OS Patch 자동화
1. 기기인증
2. PKI 기반사용자인증
3. 향후업무시스템 SSO
1. PC보안정책관리
2. 인증시스템통제
3. File 배포및설치통제
4. Remote PC 통제
보안 패치
패치강제/자동적용(GPO 기반) – 최근 Sasser 감염율 0%
미패치시스템에대한처벌가능
내부자원접근시컴퓨터 AD등록필수
임직원은 Smart Card를이용한인증
기타방문자는별도 ID/Pass로인증
시스템에대한변경권한을제어
시스템손상없음
Help Desk Call 대폭감소
컴퓨터/사용자인증
생산성
MIIS를 이용한자동화된연동시스템으로인사변경내역이자동으로변경관리됨
인사 DB 통합
APC 시스템과의연동
일치된사용자, 컴퓨터, 조직정보연동구현
임직원및외주업체직원에대한계정정책구현
암호, 잠금정책
PKI 통합(인증서발급, 저장)
정보신뢰성
보안정책
8. 타사구축사례 (A은행)
A은행에서는일반적인보안프로젝트및기업들의문제점인 Point Solution기반의시스템구축은결국중목투자와관리부재라는문제에직면하게됨
별첨
Client PC수Total(Win9x:Others)
인력투입방식 ADDC방식
팀구성 프로젝트팀에서20명(5명x4팀)
Helpdesk 활용
주사업장 11766 (7479:4287) 19
2~3일
사업장1 332 (19:313) 1
사업장2 1785 (1507:278) 3
사업장3 5302 (2846:2456) 9
사업장4 2119 (1825:294) 3
사업장5 3200 (1230:1770) 5
사업장6 762 (78:684) 2
합계 23147 (13159:9788) 40일
분석 20명의 프로젝트팀이 투입되어 전사업장 적용에 2개월 소요되며 PC
당 작업완성도는 70% 수준
최소인력이 중앙에서 전 사업장을2~3일 내에 적용 가능하며 PC당
작업완성도는 99% 수준
• 인력투입방식 : 1일 작업량을 Win9x 50대, Win2K 20대 기준
적용 Simulation (국내 S사)
적용 Simulation (국내 S사)
클라이언트작업 내용 인력투입방식 ADDC방식
DNS 설정 변경 자동화 자동화
WINS 설정 변경 자동화 자동화
컴퓨터이름변경 불가 자동화
AD 도메인 Join 불가 자동화
User State Migration 보존(70%) 보존(99%)
My Documents
Favorites
Desktop
Wallpaper
Registry
Personal Application Settings
Personal Environment Variables
Print & Network Drive 설정
Yes
Yes
Yes
No
No
No
No
No
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
AD 사용자 계정을 Local Administrators Group에 포함
불가 자동화
Client당 작업 시간 Win2K, WinXP : 30분~1시간
Win98, Me : 5~10분
Win2K, WinXP : 5~10분
Win98, Me : 1~2분
작업 주체 프로젝트팀/수작업 사용자 개인/자동화
작업 기간 40일 2~3일
부가 기능 수작업에의한 진척도 파악 작업 진척도 현황/분석가능, 인벤토리수집
적용 효과 (국내 S사)
인력투입방식
ADDC방식
인력투입방식
ADDC방식
인력투입방식
ADDC방식
프로젝트
기간
프로젝트
비용
작업
완성도 70%
40일
99%
2~3일
1/2
40 Man/Month
![맘아이 사용자 매뉴얼prog.momi.co.kr/Download/맘아이매뉴얼.pdf※ P2P 및 동영상 플레이어 DB는 자동업데이트 되므로, [차단함]을 선택하시면 자동](https://img.pdfslide.org/doc/110x75/5f5202836a288a620008ff34/e-eeprogmomicokrdownloadeeepdf-a.jpg)
