KR101702650B1 - 액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치 - Google Patents

액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치 Download PDF

Info

Publication number
KR101702650B1
KR101702650B1 KR1020160099623A KR20160099623A KR101702650B1 KR 101702650 B1 KR101702650 B1 KR 101702650B1 KR 1020160099623 A KR1020160099623 A KR 1020160099623A KR 20160099623 A KR20160099623 A KR 20160099623A KR 101702650 B1 KR101702650 B1 KR 101702650B1
Authority
KR
South Korea
Prior art keywords
group
login
computer
user
belonging
Prior art date
Application number
KR1020160099623A
Other languages
English (en)
Inventor
문성광
김한영
김두수
박용선
Original Assignee
주식회사 넷츠
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 넷츠 filed Critical 주식회사 넷츠
Priority to KR1020160099623A priority Critical patent/KR101702650B1/ko
Application granted granted Critical
Publication of KR101702650B1 publication Critical patent/KR101702650B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치가 개시된다. 로그인 관리 장치는 액티브 디렉터리의 도메인에 속한 컴퓨터별 그룹 정책 개체와 컴퓨터별 로그인 그룹 개체를 생성하고, 컴퓨터별 그룹 정책 개체의 로컬 로그인 허용 속성에 로그인 그룹 개체를 멤버로 정의한 후, 사용자가 접속하고자 하는 적어도 하나 이상의 컴퓨터와 맵핑된 적어도 하나 이상의 로그인 그룹 개체를 사용자 개체의 소속 그룹 정보에 등록하여 액티브 디렉터리의 도메인 로그인을 관리한다.

Description

액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치{Login control method and apparatus for active directory domain}
본 발명은 액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치에 관한 것으로서, 보다 상세하게는 액티브 디렉터리에 속한 컴퓨터들에 대한 사용자별 로그인 권한을 관리하는 방법 및 그 장치에 관한 것이다.
액티브 디렉터리(AD, active directory)는 마이크로소프트사가 윈도우용 환경에서 사용하기 위해 개발한 LDAP(lightweight directory access protocol) 디렉터리 서비스로서, 중앙 집중화된 자원 관리를 가능하게 한다. 예를 들어, 사용자는 액티브 디렉터리에 등록한 하나의 계정으로 액티브 디렉터리에 가입(join)된 복수의 컴퓨터에서 모두 로그인 가능하다. 그러나 업무 데이터 등 중요 데이터가 각 컴퓨터의 로컬 저장소에 저장되어 있는 경우에, 보안에 취약한 문제점이 있다.
공개특허공보 제10-2014-0018076호
본 발명이 이루고자 하는 기술적 과제는, 액티브 디렉터리를 이용한 중앙 집중화된 자원 관리를 가능하게 하면서 사용자별 컴퓨터의 접근 권한을 관리할 수 있는 로그인 관리 방법 및 그 장치를 제공하는 데 있다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리 방법의 일 예는, 액티브 디렉터리의 도메인에 속한 컴퓨터별 그룹 정책 개체를 생성하는 단계; 상기 도메인에 속한 컴퓨터별 로그인 그룹 개체를 생성하는 단계; 상기 컴퓨터별 그룹 정책 개체의 로컬 로그인 허용 속성에 로그인 그룹 개체를 멤버로 정의하는 단계; 및 사용자가 접속하고자 하는 적어도 하나 이상의 컴퓨터와 맵핑된 적어도 하나 이상의 로그인 그룹 개체를 사용자 개체의 소속 그룹 정보에 등록하는 단계;를 포함한다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 액티브 디렉터리를 위한 로그인 관리 장치의 일 예는, 액티브 디렉터리의 도메인에 속한 컴퓨터별 그룹 정책 개체를 생성하고, 그룹 정책 개체와 맵핑되는 컴퓨터의 로그인 그룹 개체를 그룹 정책 개체의 로컬 로그인 허용 속성의 멤버로 정의하는 GPO 관리부; 상기 도메인에 속한 컴퓨터별 로그인 그룹 개체를 생성하는 로그인그룹관리부; 및 사용자가 접속하고자 하는 적어도 하나 이상의 컴퓨터와 맵핑된 적어도 하나 이상의 로그인 그룹 개체를 사용자 개체의 소속 그룹 정보에 등록하는 소속그룹관리부;를 포함한다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리 방법의 다른 일 예는, 액티브 디렉터리의 컴퓨터 그룹단위의 컴퓨터 개체와 동기화된 로그인 그룹 개체의 목록을 수신하여 계정 관리 데이터베이스에 반영하는 단계; 상기 액티브 디렉터리의 사용자 그룹단위를 기초로 파악된 사용자별 맵핑된 로그인 그룹 개체의 목록을 수신하여 상기 계정 관리 데이터베이스에 반영하는 단계; 사용자의 로그인 허용 대상 컴퓨터의 변경 사항을 수신하는 단계; 및 상기 계정 관리 데이터베이스를 참조하여, 사용자와 맵핑되는 로그인 그룹 개체의 변경 사항을 액티브 디렉터리의 사용자 개체에 반영하는 프로비저닝 작업을 수행하는 단계;를 포함한다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리를 위한 프로비저닝 장치의 일 예는, 액티브 디렉터리의 컴퓨터 그룹단위의 컴퓨터 개체와 동기화된 로그인 그룹 개체의 목록을 수신하여 계정 관리 데이터베이스에 반영하는 역할 역동기화부; 상기 액티브 디렉터리의 사용자 그룹단위를 기초로 파악된 사용자별 맵핑된 로그인 그룹 개체의 목록을 수신하여 상기 계정 관리 데이터베이스에 반영하는 계정 역동기화부; 사용자의 로그인 허용 대상 컴퓨터의 변경 사항을 수신하는 사용자관리부; 및 상기 계정 관리 데이터베이스를 참조하여, 사용자와 맵핑되는 로그인 그룹 개체의 변경 사항을 액티브 디렉터리의 사용자 개체에 반영하는 프로비저닝 작업을 수행하는 프로비저닝 엔진;을 포함한다.
본 발명에 따르면, 그룹 정책 개체(GPO, Group Policy Object)에 저장된 정보의 변경 없이 사용자별 로그인 허용 대상 컴퓨터를 관리하므로, 리부팅 등의 시스템 재시작 없이 로그인 권한 변경 사항을 즉시 반영할 수 있다. 또한, 프로비저닝을 통해 복수 사용자의 로그인 권한 변경 사항을 용이하고 신속하게 반영할 수 있다. 또한, 정밀한 로그인 통제를 통한 보안성을 향상할 수 있다.
도 1은 본 발명에 따른 액티브 디렉터리의 도메인 로그인 통제의 일 예를 도시한 도면,
도 2는 본 발명에 따른 프로비저닝 장치를 이용한 액티브 디렉터리의 도메인 로그인 관리 방법의 일 예를 도시한 도면,
도 3은 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리를 위한 액티브 디렉터리의 일 예를 도시한 도면,
도 4는 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리를 위한 로그인 관리 장치의 일 실시 예의 구성을 도시한 도면,
도 5는 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리 장치의 다른 일 예를 프로비저닝 장치와 함께 도시한 도면,
도 6은 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리 방법의 일 예의 흐름을 도시한 도면,
도 7은 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리 방법 중 컴퓨터와 GPO의 동기화 방법의 일 예의 흐름을 도시한 도면,
도 8은 본 발명에 따른 프로비저닝 장치의 역동기화 방법의 일 예를 도시한 도면, 그리고,
도 9는 본 발명에 따른 사용자별 로그인 허용 컴퓨터를 변경하는 방법의 일 예를 도시한 도면이다.
이하에서, 첨부된 도면들을 참조하여 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치에 대해 상세히 설명한다.
도 1은 본 발명에 따른 액티브 디렉터리의 도메인 로그인 통제의 일 예를 도시한 도면이다.
도 1을 참조하면, AD 컨트롤러(114)는 액티브 디렉터리의 각 도메인(130)에 가입한 컴퓨터에 대한 정보를 저장하고 관리한다. 액티브 디렉터리의 도메인은 계층적 구조로 구성될 수 있다. 다만, 본 실시 예는 설명의 편의를 위하여 계층적 구조가 아닌 평면의 도메인(130)만을 도시한다.
액티브 디렉터리의 도메인(130)에 가입한 다수의 컴퓨터(110,112,114,116)가 존재하고, 사용자(120,122)가 액티브 디렉터리의 도메인 계정을 가지고 있는 경우 일반적으로 다수의 컴퓨터에서 모두 로그인이 가능하다. 다시 말해, 제1 사용자(120)는 제1 내지 제N 컴퓨터(110,112,114,116) 중 어느 곳에서도 로그인이 가능하다.
그러나 본 실시 예는 도메인 계정을 가지고 있는 사용자라고 하여도 로그인 가능한 컴퓨터를 각각 다르게 설정하고 관리한다. 예를 들어, 제1 사용자(120) 및 제2 사용자(122) 모두 액티브 디렉터리의 로그인 계정을 가지고 있어도, 제1 사용자(120)는 제1 및 제2 컴퓨터(110,112)에서만 로그인 가능하고 제3 및 제N 컴퓨터(114,116)에서는 로그인이 불가능하다. 제2 사용자(122)는 제2, 제3 및 제N 컴퓨터(112,114,116)에서만 로그인 가능하고, 제1 컴퓨터(110)에서 로그인이 불가능하다.
사용자별 로그인 가능한 컴퓨터를 다르게 설정하는 방법의 일 예로, 액티브 디렉터리의 그룹 정책 개체(GPO, Group Policy Object)에 각 컴퓨터 그룹별 사용자의 로그인 가능 여부를 설정할 수 있다. 그러나 사용자와 컴퓨터의 수가 많은 경우에, 많은 조합의 GPO를 생성하고, 각 GPO마다 사용자 로그인 권한을 설정하여야 하는 불편함이 따른다. 더구나 GPO에 저장된 사용자별 로그인 권한 정보를 수정하는 경우에 GPO 정보가 컴퓨터에 즉각적인 반영이 안 되어 리부팅/강제 적용 등의 추가 절차가 필요한 단점이 있다. 따라서 본 발명에서는 GPO에 저장된 로그인 권한 정보의 변경 없이 사용자별 로그인 허용 대상 컴퓨터를 관리할 수 있는 방법을 제시한다.
도 2는 본 발명에 따른 프로비저닝 장치를 이용한 액티브 디렉터리의 도메인 로그인 관리 방법의 일 예를 도시한 도면이다.
도 2를 참조하면, 프로비저닝 장치(200)는 리소스(resource)(210,212,214) 접근에 필요한 계정을 생성하거나 접근 권한을 변경하는 일련의 과정인 프로비저닝을 수행한다. 예를 들어, 신입사원이 입사하거나 조직 내 인사이동 또는 직무 변경이 발생하여 사용자가 접근하는 리소스의 범주가 변경되면 그에 맞게 리소스별 계정이나 권한을 변경하는 프로비저닝을 수행한다. 리소스(210,212,214)는 액티브 디렉터리, 이메일, 그룹웨어, ERP(Enterprise Resource Planning) 등의 다양한 애플리케이션나 시스템, 또는 각종 그룹이나 데이터베이스일 수 있다
본 실시 예에서, 액티브 디렉터리의 도메인에 속한 컴퓨터들에 대한 사용자 로그인 권한의 설정 또는 변경이 필요한 경우에, 프로비저닝 장치(200)는 이후 살펴볼 로그인 관리 장치를 프로비저닝 대상 리소스(210)로 등록한다. 로그인 관리 장치(도 2의 예에서, 제1 리소스(210))는 액티브 디렉터리에 가입한 컴퓨터와 일대일 맵핑되는 GPO를 생성하여 최상위 도메인(도메인이 계층적 구조로 구성된 경우 최상위 도메인)에 설정하고, 또한 컴퓨터와 일대일 대응하는 로그인 그룹 개체(Login Group Object)을 생성하고 이를 GPO에 로그인 허용 개체로 등록한다. 로그인 관리 장치의 다양한 실시 예는 도 4 및 도 5에 도시되어 있다.
프로비저닝 장치(200)는 제1 리소스(210)(즉, 로그인 관리 장치)로부터 수신한 로그인 그룹 개체 목록으로 계정관리 데이터베이스의 역할(role) 정보를 역동기화하고, 또한 제1 리소스(210)로부터 수신한 액티브 디렉터리의 도메인 계정을 가진 사용자 정보 및 각 사용자의 소속 로그인 그룹 정보로 계정관리 데이터베이스의 계정 및 계정 역할을 역동기화한다. 다시 말해, 프로비저닝 장치(200)는 계정 관리 데이터베이스에 액티브 디렉터리에 정의된 로그인 그룹 정보가 반영된 역할 정보, 액티브 디렉터리의 도메인 계정을 가진 사용자의 정보가 반영된 계정 정보, 각 사용자의 소속 로그인 그룹 정보가 반영된 계정 역할 정보를 일정 주기마다 반영하는 역동기화를 수행한다.
프로비저닝 장치(200)는 사용자별 또는 계정별 로그인 권한 설정 또는 변경 사항이 발생하면, 이를 프로비저닝 대상인 로그인 관리 장치(즉, 제1 리소스(210))에 반영하기 위한 프로비저닝을 수행한다. 로그인 관리 장치는 프로비저닝 장치(200)로부터 수신한 프로비저닝 요청에 따라 액티브 디렉터리 개체들(220)에 사용자별 로그인 권한 정보를 반영한다. 프로비저닝 장치(200)는 계정의 권한 관리 작업 또는 사용자의 권한 관리 작업을 통해 도메인 계정을 가진 사용자의 컴퓨터 로그인을 통제 관리할 수 있다.
예를 들어, 계정의 권한 관리 작업으로 로그인 통제하는 경우를 살펴보면, 프로비저닝 장치(200)가 계정(즉, 액티브 디렉터리의 사용자의 도메인 계정)에 리소스 역할(액티브 디렉터리의 로그인 그룹)을 부여하면, 사용자가 로그인 그룹의 멤버로 등록되어 해당 로그인 그룹과 맵핑된 컴퓨터에서 로그인할 수 있다. 반대로, 프로비저닝 장치(200)가 계정에서 리소스 역할을 회수하면, 사용자가 로그인 그룹의 멤버에서 삭제되어 해당 로그인 그룹과 맵핑된 컴퓨터에서 로그인할 수 없다.
다른 예로, 사용자의 권한 관리 작업으로 로그인 통제하는 경우를 살펴보면, 프로비저닝 장치(200)가 사용자에게 리소스 역할을 부여하면, 사용자에 대응하는 계정에 리소스 역할이 부여되고, 계정은 로그인 그룹의 멤버로 등록되어 대응하는 컴퓨터에서 로그인할 수 있다. 반대로 프로비저닝 장치(200)가 사용자로부터 리소스 역할을 회수하면, 대응하는 계정에서 역할이 회수되고, 계정은 그룹의 멤버에서 삭제되어 컴퓨터에 로그인할 수 없다.
도 3은 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리를 위한 액티브 디렉터리의 일 예를 도시한 도면이다.
도 3을 참조하면, 액티브 디렉터리는 계층적 도메인 서비스를 제공하며, 도메인에는 컴퓨터 OU(Organizational unit)(310), 로그인그룹 OU(320), 사용자 OU(330), GPO OU(340) 등이 존재한다. 이 외에도 다양한 OU들이 존재하나, 본 실시 예에 필요한 OU 위주로 설명한다.
컴퓨터 OU(310)는 도메인에 속한 각 컴퓨터 정보를 나타내는 컴퓨터 개체를 포함하고, 로그인그룹 OU(320)는 각 컴퓨터와 일대일 맵핑되며 GPO의 그룹 정책이 적용되는 로그인 그룹 개체를 포함한다. 사용자 OU(330)는 도메인에 속한 사용자들의 정보(예를 들어, 계정, 소속 그룹 정보 등)를 포함하는 사용자 개체를 포함하고, GPO OU는 각 컴퓨터와 일대일 맵핑되며 멤버로 등록된 개체에 대한 정책을 정의하는 GPO를 포함한다. GPO는 정책 설정을 위한 다양한 속성을 포함할 수 있으며, 일 예로, 보안필터링 속성, 링크 속성, 로컬 로그인 허용 속성 등이 있다. 도 3의 실시 예에서, IMCP001과 IMCP002는 각 컴퓨터와 맵핑되는 GPO이다. GPO는 해당 그룹에 적용한 각종 정책에 대한 속성 정보를 포함한다.
본 실시 예에서, 컴퓨터별로 로그인 그룹 개체와 GPO가 각각 생성되므로, 컴퓨터 - 로그인 그룹 개체 - GPO는 모두 일대일 맵핑된다. 로그인 그룹 개체와 GPO는 각각 맵핑되는 컴퓨터의 정보를 포함할 수 있다.
도 4는 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리를 위한 로그인 관리 장치의 일 실시예의 구성을 도시한 도면이다.
도 4를 참조하면, 로그인 관리 장치(400)는 GPO 관리부(410), 로그인그룹관리부(420), 소속그룹관리부(430)를 포함한다. 로그인 관리 장치(400)는 도 2에서 살핀 프로비저닝 장치(200)와 연동하여 구현될 수 있으나, 반드시 이에 한정되는 것은 아니며 실시 예에 따라 프로비저닝 장치(200) 없이 로그인 관리 장치(400) 단독으로만 구현되거나 다른 시스템 등과 연동될 수도 있다.
GPO 관리부(410)는 액티브 디렉터리의 도메인(440)에 속한 컴퓨터별 GPO를 생성한다. 예를 들어, 도 1과 같이 액티브 디렉터리 도메인(130)에 N개의 컴퓨터(110,112,114,116)가 존재하면, GPO 관리부(410)는 각 컴퓨터와 맵핑되는 N개의 GPO을 생성한다. 액티브 디렉토리에 가입한 컴퓨터들(110,112,114,116)은 고정적인 것이 아니라 새로운 컴퓨터가 가입하거나 기존 컴퓨터가 탈퇴하는 등 변경 사항이 발생할 수 있다. 이러한 변경 사항을 반영하기 위하여 GPO 관리부(410)는 일정 주기로 액티브 디렉터리의 도메인(440)에 속한 컴퓨터 OU(450)와 GPO OU(470)를 동기화한다.
일 예로, GPO 관리부(410)는 컴퓨터 OU(450)를 통해 현재 도메인에 속한 컴퓨터 개체 목록을 파악하고, GPO OU(480)를 통해 도메인에 속한 GPO 목록을 파악한다. GPO 관리부(410)는 컴퓨터 개체 목록과 GPO 개체 목록을 비교하여, GPO가 존재하지 아니한 컴퓨터 개체 또는 컴퓨터 개체가 존재하지 아니한 GPO를 파악한다. 예를 들어, 도 1에서 도메인 내에 제1 내지 제N 컴퓨터가 존재하나, 제2 컴퓨터와 맵핑되는 GPO가 존재하지 아니한 경우가 있을 수 있다. 또는 제1 내지 제N 컴퓨터와 각각 맵핑된 GPO가 존재하나, 제3 컴퓨터가 액티브 디렉터리에서 탈퇴하여 현재 액티브 디렉터리의 컴퓨터 OU(450)에 제3 컴퓨터 개체가 존재하지 않을 수 있다. 따라서 GPO 관리부(410)는 GPO가 존재하지 아니한 컴퓨터 개체에 대한 신규 GPO를 GPO OU(480)에 생성하고, 컴퓨터 개체가 존재하지 아니한 GPO를 GPO OU(480)에서 삭제한다.
로그인그룹관리부(420)는 액티브 디렉터리의 도메인에 속한 컴퓨터별 로그인 그룹 개체를 생성한다. 다시 말해, 로그인그룹관리부(420)는 컴퓨터와 일대일 맵핑되는 로그인 그룹 개체를 로그인그룹 OU(460)에 생성한다.
앞서 든 예에서, 도메인에 속한 컴퓨터에 변경사항이 발생하여 GPO 관리부(410)가 신규 GPO를 생성하는 경우에, 로그인그룹관리부(420)는 신규 GPO와 맵핑되는 신규 로그인 그룹 개체를 로그인그룹 OU(460)에 생성한다. 또한, GPO 관리부(410)가 GPO를 삭제하는 경우에, 로그인그룹관리부(420)는 삭제되는 GPO의 로컬 로그인 허용 속성에 등록된 기존 로그인 그룹 개체를 로그인그룹 OU(460)에서 삭제한다.
GPO 관리부(410)는 그룹 정책이 적용될 사용자를 GPO에 등록하는 것이 아니라, 사용자별 로그인 권한을 관리하기 위하여 GPO의 로컬 로그인 허용 속성에 사용자 개체가 아닌 로그인 그룹 개체를 멤버로 정의한다. GPO 관리부(410)는 보안필터링 속성에 맵핑되는 컴퓨터 개체를 설정하고, 링크 속성에 최상위 도메인을 설정하는 등 실시 예에 따라 다양한 속성을 설정할 수 있다.
소속그룹관리부(430)는 사용자의 로그인 허용 컴퓨터와 맵핑된 로그인 그룹 개체를 사용자 OU(470)의 사용자 개체 내 소속 그룹 정보에 등록한다. 사용자 OU(470)의 각 사용자 개체는 각 사용자의 소속 그룹 정보를 포함한다. 예를 들어, 제1 사용자의 제1 사용자 개체에는 제1 사용자가 속한 각종 소속 그룹 정보(예를 들어, 메일 그룹, 프린터 그룹, 로그인 그룹)를 포함한다. 소속그룹관리부(430)는 특히, 사용자 개체의 소속 그룹 정보 중 사용자에게 로그인 허용된 컴퓨터와 맵핑된 로그인 그룹의 정보를 소속 그룹 정보에 등록한다.
예를 들어, 도 1과 같은 로그인 통제 관리를 하는 경우에, 제1 사용자(120)가 제1 및 제2 컴퓨터(110,112)에서 로그인 허용되므로, 소속그룹관리부(430)는 사용자 OU(470)에 존재하는 제1 사용자 개체의 소속 그룹 정보에 제1 및 제2 컴퓨터(110,112)와 맵핑된 로그인 그룹 개체를 등록하고, 제2 사용자(122)의 제2 사용자 개체의 소속 그룹 정보에 제2, 제3, 제N 컴퓨터(112,114,116)와 맵핑된 로그인 그룹 개체를 등록한다.
본 실시 예에서, 컴퓨터별 GPO의 로컬 로그인 허용 속성에 사용자 개체를 멤버로 등록하는 것이 아니라, 로그인 그룹 개체를 멤버로 등록하고, 사용자는 로그인그룹 OU(460)에 속한 로그인 그룹 중 적어도 어느 하나에 속하도록 등록함으로써 사용자별 로그인 허용 가능한 컴퓨터를 용이하게 관리할 수 있다. 따라서 GPO의 정책을 각 컴퓨터에 적용하기 위하여 별도의 부팅이나 과정이 필요하지 않고 단순히 사용자의 소속 그룹 정보에 사용자 속한 로그인 그룹 정보만을 변경하여 사용자가 로그인할 수 있는 컴퓨터를 설정하거나 변경할 수 있다.
도 5는 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리 장치의 다른 일 예를 프로비저닝 장치와 함께 도시한 도면이다.
도 5를 참조하면, 프로비저닝 장치(500)는 역동기화부(510), 사용자 관리부(520) 및 프로비전 엔진(530)과 계정관리 데이터베이스를 포함하고, 로그인 관리 장치(540)는 그룹 동기화부(542), 계정 동기화부(544) 및 권한 설정부(546)를 포함한다.
먼저, 로그인 관리 장치(540)부터 살펴본다.
그룹 동기화부(542)는 액티브 디렉터리(550)의 컴퓨터 OU를 통해 파악한 컴퓨터 개체 목록과 GPO OU(558)를 통해 파악한 GPO 목록을 동기화한다. 그룹 동기화부(542)는 컴퓨터 개체 목록과 GPO 목록을 비교하여, GPO 목록에서 맵핑되는 GPO가 존재하지 아니한 컴퓨터 개체 또는 맵핑되는 컴퓨터 개체가 존재하지 아니한 GPO 개체를 파악한다. 맵핑되는 GPO 목록이 존재하지 아니한 컴퓨터 개체가 존재하면, 그룹 동기화부(542)는 컴퓨터 개체와 맵핑되는 신규 GPO와 신규 로그인 그룹 개체를 각각 생성하여 GPO OU(558) 및 로그인그룹 OU(554)에 추가하고, 신규 GPO의 로컬 로그인 허용 속성에 신규 로그인 그룹 개체를 멤버로 등록한다. 그룹 동기화부(542)는 이외에도 보안필터링 속성에 신규 GPO와 맵핑되는 컴퓨터 개체를 설정하고 링크 속성에 최상위 도메인을 설정하는 등 각종 속성을 등록할 수 있다. 그룹 동기화부(542)는 동기화 후 프로비저닝 장치(500)에 동기화된 로그인 그룹 개체 목록을 제공한다. 그룹 동기화부(542)는 도 4에서 살핀 GPO관리부(410) 및 로그인그룹관리부(420)의 조합을 통해 구현될 수 있다.
계정 동기화부(544)는 로그인그룹 OU(554)에서 로그인 그룹 개체 목록을 파악하고, 사용자 OU(556)에서 로그인 그룹에 속한 사용자 개체 목록을 구한다. 그리고 계정 동기화부(544)는 이들 목록을 기초로 사용자별 소속 로그인 그룹 정보를 파악하여 프로비저닝 장치(500)에 제공한다.
권한 설정부(546)는 프로비저닝 장치(500)의 프로비전 엔진(530)으로부터 사용자별 로그인 허용 대상 컴퓨터에 관한 정보를 포함하는 프로비저닝 요청을 수신하면, 사용자 OU(556)의 사용자 개체에 정의된 사용자의 소속 그룹 정보 중 로그인 그룹 정보를 갱신한다. 예를 들어, 도 1의 예에서, 제1 사용자(120)의 로그인 허용 대상 컴퓨터가 제1 및 제2 컴퓨터(110,112)에서 제1 및 제3 컴퓨터(110,114)로 변경된 경우에, 권한 설정부(546)는 프로비저닝 엔진(530)으로부터 제1 사용자(120)의 로그인 허용 대상 컴퓨터에 관한 변경 정보를 포함하는 프로비저닝 요청을 수신한 후, 제1 사용자(120)의 제1 사용자 개체 내 소속 그룹 정보 중 로컬 로그인 그룹 정보를 제1 및 제3 컴퓨터(110,114)와 맵핑된 제1 및 제3 로그인 그룹 개체로 갱신한다.
다른 예로, 권한 설정부(546)는 프로비저닝 엔진(530)으로부터 수신한 사용자의 새로운 로그인 그룹 정보(R)를 수신하고, 해당 사용자의 사용자 개체를 통해 파악한 소속 그룹 정보를 로그인 그룹 정보(L)와 그 외 그룹 정보(G)로 구분한 후, 새로운 로그인 그룹 정보(R)와 그외 그룹 정보(G)를 합한 정보(G+R)를 사용자 개체의 그룹 정보에 덮어쓴다.
다음으로, 프로비저닝 장치(500)에 대해 살펴본다.
프로비저닝 장치(500)는 로그인 관리 장치(540)로부터 수신한 로그인 그룹 개체 목록, 사용자별 소속 로그인 그룹 정보를 수신한 후, 이들 정보를 계정관리 데이터베이스에 반영하는 역동기화를 수행한다. 본 실시 예는, 정보별로 구분된 각 데이터베이스(516,522,524,532,534)를 도시하고 있으나 이들 데이터베이스들(516,522,524,532,534)은 하나의 계정관리 데이터베이스로 구현될 수 있는 등 실시 예에 따라 다양하게 변형 가능하다.
역동기화부(510)의 역할 역동기화부(512)는 일정 주기로 로그인 관리 장치(540)의 그룹 동기화부(542)로부터 수신한 로그인 그룹 개체 목록을 역할 데이터베이스(516)에 반영한다. 계정 역동기화부(514)는 일정 주기로 계정 동기화부(544)로부터 수신한 사용자 및 사용자별 로그인 그룹 목록을 계정 데이터베이스(532) 및 계정역할 데이터베이스(534)에 각각 반영한다. 따라서 프로비저닝 장치(500)는 액티브 디렉터리의 로그인 그룹 정보 및 각 사용자가 속한 로그인 그룹 정보를 데이터베이스들(516,532,534)에 반영하여 프로비저닝을 원활히 수행할 수 있도록 한다.
사용자 관리부(520)는 사용자별 로그인 권한의 설정 또는 변경 사항을 수신하면, 사용자 역할 데이터베이스(524)에 사용자의 로그인 권한의 설정 또는 변경 사항을 저장한다. 그리고 사용자 관리부(520)는 로그인 권한의 설정 또는 변경 사항을 프로비전 엔진(530)에 전달한다.
프로비전 엔진(530)은 사용자의 로그인 권한의 설정 또는 변경 사항을 기초로 계정 및 계정역할 데이터베이스(532,534)를 참조하여, 사용자별 변경되는 소속 로그인 그룹에 대한 정보를 포함한 프로비저닝 요청을 권한 설정부(546)에 전달한다. 예를 들어, 도 1에서 제1 사용자(120)의 로그인 권한이 제1 및 제2 컴퓨터(110,112)에서 제1 및 제3 컴퓨터(110,114)로 변경되면, 프로비저닝 엔진(530)는 제1 및 제3 컴퓨터(110,114)와 맵핑된 로그인 그룹 개체의 정보를 계정역할 데이터베이스(534)에서 파악하여, 제1 사용자의 새로운 로그인 그룹 개체에 대한 정보를 포함하는 프로비저닝 요청을 권한 설정부(546)에 전달한다.
도 6은 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리 방법의 일 예의 흐름을 도시한 도면이다.
도 6을 참조하면, 로그인 관리 장치는 액티브 디렉터리의 도메인에 가입한 컴퓨터별로 GPO를 생성한다(S600). 일 예로, 로그인 관리 장치는 컴퓨터 OU로부터 파악된 컴퓨터 개체 목록과 GPO OU로부터 파악된 GPO 목록을 비교하여 GPO가 존재하지 아니한 컴퓨터 개체 또는 컴퓨터 개체가 존재하지 아니한 GPO를 파악한다. 그리고 로그인 관리 장치는 GPO가 존재하지 아니한 컴퓨터 개체에 대한 신규 GPO를 생성하고, 컴퓨터 개체가 존재하지 아니한 GPO를 삭제하여 컴퓨터와 GPO 사이의 동기화를 수행할 수 있다.
로그인 관리 장치는 컴퓨터별 로그인 그룹 개체를 생성한다(S610). 로그인 관리 장치는 컴퓨터와 GPO 사이의 동기화 과정에서 신규 GPO 생성시 신규 로그인 그룹 개체를 생성하거나 GPO 삭제시 GPO의 로컬 로그인 허용 속성에 멤버로 정의된 기존 로그인 그룹 개체를 삭제하여 컴퓨터와 각각 맵핑되는 GPO와 로그인 그룹 개체의 동기화를 수행할 수 있다.
로그인 관리 장치는 신규 GPO와 신규 로그인 그룹 개체가 생성되면, 신규 GPO의 로컬 로그인 허용 속성에 신규 로그인 그룹 개체를 멤버로 등록한다(S620). 그리고 로그인 관리 장치는 각 사용자의 사용자 개체에 정의된 소속 그룹 정보에 로그인 그룹 개체를 등록하여 사용자별 로그인 허용 가능한 컴퓨터를 관리한다(S630).
도 7은 본 발명에 따른 액티브 디렉터리의 도메인 로그인 관리 방법 중 컴퓨터와 GPO의 동기화 방법의 일 예의 흐름을 도시한 도면이다.
도 7을 참조하면, 로그인 관리 장치는 컴퓨터 OU에서 컴퓨터 목록을 파악하고(S700), GPO OU에서 GPO 목록을 파악한다(S705). 로그인 관리 장치는 컴퓨터 목록과 GPO 목록을 비교하여(S710), GPO가 존재하지 아니한 제n 컴퓨터가 존재하는 경우(S715), 로그인 관리 장치는 신규 GPO를 생성하고(S720), 신규 GPO의 보안 필터링 속성에 제n 컴퓨터를 설정하고(S725), 신규 GPO의 링크 속성에 최상위 도메인을 설정하고(S735), 신규 로그인 그룹 개체를 생성한다(S740). 그리고 로그인 관리 장치는 신규 GPO의 로컬 로그인 허용 속성에 신규 로그인 그룹 개체를 멤버로 정의한다(S740).
컴퓨터 목록과 GPO 목록의 비교과정(S710)에서, 컴퓨터 개체가 존재하지 아니한 제거 대상 GPO가 존재하면(S715), 로그인 관리 장치는 제거 대상 GPO의 링크 속상에서 최상위 도메인을 삭제하고(S745), 제거 대상 GPO의 로컬 로그인 허용 속성에 정의된 로그인 그룹 개체를 멤버에서 삭제하고(S750), 로컬 로그인 그룹 개체를 로그인그룹 OU에서 삭제한다(S755). 그리고 로그인 관리 장치는 제거 대상 GPO를 GPO OU에서 삭제한다(S760).
도 8은 본 발명에 따른 프로비저닝 장치의 역동기화 방법의 일 예를 도시한 도면이다.
도 8을 참조하면, 프로비저닝 장치는 로그인 관리 장치로부터 액티브 디렉터리에 정의된 로그인 그룹 개체 목록과 사용자별 소속 로그인 그룹 정보 등을 수신하여 계정관리 데이터베이스에 역동기화한다(S800,S810). 프로비저닝 장치는 사용자의 로그인 권한의 설정 또는 변경 사항이 발생하면, 이에 대한 프로비저닝 요청을 생성하고(S820), 로그인 관리 장치에 대해 프로비저닝을 요청한다(S830)
도 9는 본 발명에 따른 사용자별 로그인 허용 컴퓨터를 변경하는 방법의 일 예를 도시한 도면이다.
도 9를 참조하면, 로그인 관리 장치는 프로비저닝 장치로부터 사용자의 로그인 권한의 변경 사항을 포함하는 프로비저닝 요청을 수신한다(S900). 로그인 관리 장치는 사용자 OU에서 프로비저닝 요청 대상 사용자의 사용자 개체에 정의된 소속 그룹 정보를 파악한다(S910). 사용자의 소속 그룹 정보는 로그인 그룹 정보와 그 외의 그룹 정보로 구분될 수 있다. 로그인 관리 장치는 소속 그룹 정보 중 로그인 그룹 정보만을 프로비저닝 요청에 포함된 새로운 로그인 그룹 정보로 갱신한다(S920).
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (11)

  1. 삭제
  2. 액티브 디렉터리의 도메인에 속한 컴퓨터별 그룹 정책 개체를 생성하는 단계;
    상기 도메인에 속한 컴퓨터별 로그인 그룹 개체를 생성하는 단계;
    상기 컴퓨터별 그룹 정책 개체의 로컬 로그인 허용 속성에 로그인 그룹 개체를 멤버로 정의하는 단계; 및
    사용자가 접속하고자 하는 적어도 하나 이상의 컴퓨터와 맵핑된 적어도 하나 이상의 로그인 그룹 개체를 사용자 개체의 소속 그룹 정보에 등록하는 단계;를 포함하고,
    상기 그룹 정책 개체를 생성하는 단계는,
    상기 도메인의 컴퓨터 조직단위로부터 파악된 컴퓨터 개체 목록과 그룹 정책 개체 조직단위로부터 파악된 그룹 정책 개체의 목록을 비교하여 그룹 정책 개체가 존재하지 아니한 컴퓨터 개체 또는 컴퓨터 개체가 존재하지 아니한 그룹 정책 개체를 파악하는 단계; 및
    그룹 정책 개체가 존재하지 아니한 컴퓨터 개체에 대한 그룹 정책 개체를 생성하거나, 컴퓨터 개체가 존재하지 아니한 그룹 정책 개체를 삭제하는 단계를 포함하는 것을 특징으로 하는 액티브 디렉터리의 도메인 로그인 관리 방법.
  3. 액티브 디렉터리의 도메인에 속한 컴퓨터별 그룹 정책 개체를 생성하는 단계;
    상기 도메인에 속한 컴퓨터별 로그인 그룹 개체를 생성하는 단계;
    상기 컴퓨터별 그룹 정책 개체의 로컬 로그인 허용 속성에 로그인 그룹 개체를 멤버로 정의하는 단계; 및
    사용자가 접속하고자 하는 적어도 하나 이상의 컴퓨터와 맵핑된 적어도 하나 이상의 로그인 그룹 개체를 사용자 개체의 소속 그룹 정보에 등록하는 단계;를 포함하고,
    상기 로그인 그룹 개체를 생성하는 단계는,
    그룹 정책 개체가 존재하지 아니한 컴퓨터 개체에 대한 로그인 그룹 개체를 생성하거나, 컴퓨터 개체가 존재하지 아니한 그룹 정책 개체의 로컬 로그인 허용 속성에 정의된 로그인 그룹 개체를 삭제하는 단계;를 포함하는 것을 특징으로 하는 액티브 디렉터리의 도메인 로그인 관리 방법.
  4. 액티브 디렉터리의 도메인에 속한 컴퓨터별 그룹 정책 개체를 생성하는 단계;
    상기 도메인에 속한 컴퓨터별 로그인 그룹 개체를 생성하는 단계;
    상기 컴퓨터별 그룹 정책 개체의 로컬 로그인 허용 속성에 로그인 그룹 개체를 멤버로 정의하는 단계; 및
    사용자가 접속하고자 하는 적어도 하나 이상의 컴퓨터와 맵핑된 적어도 하나 이상의 로그인 그룹 개체를 사용자 개체의 소속 그룹 정보에 등록하는 단계;를 포함하고,
    상기 소속 그룹 정보에 등록하는 단계는,
    사용자별 로그인 허용 대상 컴퓨터 정보를 수신하는 단계; 및
    사용자별 사용자 개체의 소속 그룹 정보 중 로그인 그룹 개체의 정보를 상기 로그인 대상 컴퓨터 정보에 해당하는 로그인 그룹 개체의 정보로 갱신하는 단계;를 포함하는 것을 특징으로 하는 액티브 디렉터리의 도메인 로그인 관리 방법.
  5. 삭제
  6. 액티브 디렉터리의 도메인에 속한 컴퓨터별 그룹 정책 개체를 생성하고, 그룹 정책 개체와 맵핑되는 컴퓨터의 로그인 그룹 개체를 그룹 정책 개체의 로컬 로그인 허용 속성의 멤버로 정의하는 GPO 관리부;
    상기 도메인에 속한 컴퓨터별 로그인 그룹 개체를 생성하는 로그인그룹관리부; 및
    사용자가 접속하고자 하는 적어도 하나 이상의 컴퓨터와 맵핑된 적어도 하나 이상의 로그인 그룹 개체를 사용자 개체의 소속 그룹 정보에 등록하는 소속그룹관리부;를 포함하고,
    상기 GPO 관리부는,
    상기 도메인의 컴퓨터 조직단위로부터 파악된 컴퓨터 개체 목록과 그룹 정책 개체 조직단위로부터 파악된 그룹 정책 개체의 목록을 비교하여 그룹 정책 개체가 존재하지 아니한 컴퓨터 개체 또는 컴퓨터 개체가 존재하지 아니한 그룹 정책 개체를 파악한 후, 그룹 정책 개체가 존재하지 아니한 컴퓨터 개체에 대한 그룹 정책 개체를 생성하고 컴퓨터 개체가 존재하지 아니한 그룹 정책 개체를 삭제하는 것을 특징으로 하는 액티브 디렉터리를 위한 로그인 관리 장치.
  7. 액티브 디렉터리의 도메인에 속한 컴퓨터별 그룹 정책 개체를 생성하고, 그룹 정책 개체와 맵핑되는 컴퓨터의 로그인 그룹 개체를 그룹 정책 개체의 로컬 로그인 허용 속성의 멤버로 정의하는 GPO 관리부;
    상기 도메인에 속한 컴퓨터별 로그인 그룹 개체를 생성하는 로그인그룹관리부; 및
    사용자가 접속하고자 하는 적어도 하나 이상의 컴퓨터와 맵핑된 적어도 하나 이상의 로그인 그룹 개체를 사용자 개체의 소속 그룹 정보에 등록하는 소속그룹관리부;를 포함하고,
    상기 로그인그룹관리부는,
    그룹 정책 개체가 존재하지 아니한 컴퓨터 개체에 대한 로그인 그룹 개체를 생성하거나, 컴퓨터 개체가 존재하지 아니한 그룹 정책 개체의 로컬 로그인 허용 속성에 정의된 로그인 그룹 개체를 삭제하는 것을 특징으로 하는 액티브 디렉터리를 위한 로그인 관리 장치.
  8. 액티브 디렉터리의 도메인에 속한 컴퓨터별 그룹 정책 개체를 생성하고, 그룹 정책 개체와 맵핑되는 컴퓨터의 로그인 그룹 개체를 그룹 정책 개체의 로컬 로그인 허용 속성의 멤버로 정의하는 GPO 관리부;
    상기 도메인에 속한 컴퓨터별 로그인 그룹 개체를 생성하는 로그인그룹관리부; 및
    사용자가 접속하고자 하는 적어도 하나 이상의 컴퓨터와 맵핑된 적어도 하나 이상의 로그인 그룹 개체를 사용자 개체의 소속 그룹 정보에 등록하는 소속그룹관리부;를 포함하고,
    상기 소속그룹관리부는,
    사용자별 로그인 허용 대상 컴퓨터 정보를 수신하는 단계; 및
    사용자별 사용자 개체의 소속 그룹 정보 중 로그인 그룹 개체의 정보를 상기 로그인 대상 컴퓨터 정보에 해당하는 로그인 그룹 개체의 정보로 갱신하는 단계;를 포함하는 것을 특징으로 하는 액티브 디렉터리를 위한 로그인 관리 장치.
  9. 액티브 디렉터리의 컴퓨터 그룹단위의 컴퓨터 개체와 동기화된 로그인 그룹 개체의 목록을 수신하여 계정 관리 데이터베이스에 반영하는 단계;
    상기 액티브 디렉터리의 사용자 그룹단위를 기초로 파악된 사용자별 맵핑된 로그인 그룹 개체의 목록을 수신하여 상기 계정 관리 데이터베이스에 반영하는 단계;
    사용자의 로그인 허용 대상 컴퓨터의 변경 사항을 수신하는 단계; 및
    상기 계정 관리 데이터베이스를 참조하여, 사용자와 맵핑되는 로그인 그룹 개체의 변경 사항을 액티브 디렉터리의 사용자 개체에 반영하는 프로비저닝 작업을 수행하는 단계;를 포함하고,
    상기 로그인 그룹 개체의 목록은, 그룹 정책 개체가 존재하지 아니한 컴퓨터 개체에 대한 로그인 그룹 개체를 포함하고, 컴퓨터 개체가 존재하지 아니한 그룹 정책 개체의 로컬 로그인 허용 속성에 정의된 로그인 그룹 개체를 제외하는 것을 특징으로 하는 액티브 디렉터리의 도메인 로그인 관리 방법.
  10. 액티브 디렉터리의 컴퓨터 그룹단위의 컴퓨터 개체와 동기화된 로그인 그룹 개체의 목록을 수신하여 계정 관리 데이터베이스에 반영하는 역할 역동기화부;
    상기 액티브 디렉터리의 사용자 그룹단위를 기초로 파악된 사용자별 맵핑된 로그인 그룹 개체의 목록을 수신하여 상기 계정 관리 데이터베이스에 반영하는 계정 역동기화부;
    사용자의 로그인 허용 대상 컴퓨터의 변경 사항을 수신하는 사용자관리부; 및
    상기 계정 관리 데이터베이스를 참조하여, 사용자와 맵핑되는 로그인 그룹 개체의 변경 사항을 액티브 디렉터리의 사용자 개체에 반영하는 프로비저닝 작업을 수행하는 프로비저닝 엔진;을 포함하고,
    상기 로그인 그룹 개체의 목록은, 그룹 정책 개체가 존재하지 아니한 컴퓨터 개체에 대한 로그인 그룹 개체를 포함하고, 컴퓨터 개체가 존재하지 아니한 그룹 정책 개체의 로컬 로그인 허용 속성에 정의된 로그인 그룹 개체를 제외하는 것을 특징으로 하는 액티브 디렉터리의 도메인 로그인 관리를 위한 프로비저닝 장치.
  11. 제 2항 내지 제 4항 및 제 9항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020160099623A 2016-08-04 2016-08-04 액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치 KR101702650B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160099623A KR101702650B1 (ko) 2016-08-04 2016-08-04 액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160099623A KR101702650B1 (ko) 2016-08-04 2016-08-04 액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR101702650B1 true KR101702650B1 (ko) 2017-02-03

Family

ID=58156543

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160099623A KR101702650B1 (ko) 2016-08-04 2016-08-04 액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR101702650B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116800546A (zh) * 2023-08-24 2023-09-22 北京建筑大学 一种用户切换方法、系统、终端及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100832093B1 (ko) * 2007-07-09 2008-05-27 주식회사 넷츠 통합 계정관리를 위한 권한기반 리소스 계정 및 권한의프로비저닝 장치
KR20140011524A (ko) * 2012-06-28 2014-01-29 엘에스웨어(주) 클라우드 컴퓨팅 환경에서 터미널 서비스 접근 제어 시스템 및 방법
KR20140018076A (ko) 2012-06-25 2014-02-12 주식회사 케이티 복수의 사용자 계정들을 갖는 클라이언트에 대한 가상 데스크톱 서비스 시스템
JP2015531511A (ja) * 2012-09-07 2015-11-02 オラクル・インターナショナル・コーポレイション マルチドメインアイデンティティ管理システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100832093B1 (ko) * 2007-07-09 2008-05-27 주식회사 넷츠 통합 계정관리를 위한 권한기반 리소스 계정 및 권한의프로비저닝 장치
KR20140018076A (ko) 2012-06-25 2014-02-12 주식회사 케이티 복수의 사용자 계정들을 갖는 클라이언트에 대한 가상 데스크톱 서비스 시스템
KR20140011524A (ko) * 2012-06-28 2014-01-29 엘에스웨어(주) 클라우드 컴퓨팅 환경에서 터미널 서비스 접근 제어 시스템 및 방법
JP2015531511A (ja) * 2012-09-07 2015-11-02 オラクル・インターナショナル・コーポレイション マルチドメインアイデンティティ管理システム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116800546A (zh) * 2023-08-24 2023-09-22 北京建筑大学 一种用户切换方法、系统、终端及存储介质
CN116800546B (zh) * 2023-08-24 2023-11-03 北京建筑大学 一种用户切换方法、系统、终端及存储介质

Similar Documents

Publication Publication Date Title
US10367821B2 (en) Data driven role based security
US9436843B2 (en) Automatic folder access management
RU2598324C2 (ru) Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога
Al-Kahtani et al. A model for attribute-based user-role assignment
US8706692B1 (en) Corporate infrastructure management system
US10938827B2 (en) Automatically provisioning new accounts on managed targets by pattern recognition of existing account attributes
US7702758B2 (en) Method and apparatus for securely deploying and managing applications in a distributed computing infrastructure
US20050060572A1 (en) System and method for managing access entitlements in a computing network
KR101975614B1 (ko) 클라우드 서비스 재접속 자동화 방법
US20140181992A1 (en) Multi-tenant content provider
US11914687B2 (en) Controlling access to computer resources
US11763018B2 (en) System and method for policy control in databases
US9942261B2 (en) Dynamic optimizing scanner for identity and access management (IAM) compliance verification
US11425132B2 (en) Cross-domain authentication in a multi-entity database system
US20240007458A1 (en) Computer user credentialing and verification system
KR101702650B1 (ko) 액티브 디렉터리의 도메인 로그인 관리 방법 및 그 장치
US11632375B2 (en) Autonomous data source discovery
WO2022260808A1 (en) Property-level visibilities for knowledge-graph objects
KR101711131B1 (ko) 액티브 디렉터리를 이용한 프로비저닝 방법 및 그 장치
Thomas Exam Ref AZ-800 Administering Windows Server Hybrid Core Infrastructure
CN115001729A (zh) 用户权限管控方法、装置、设备及介质
Pluta et al. Identity & Access Control Management Infrastructure Blueprint—Design Principles for True Informational Self-Determination

Legal Events

Date Code Title Description
A201 Request for examination
FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 4