AD 개체 삭제 프로세스

1. AD 휴지통 기능이 없을 때 (전통 방식)

• 삭제 프로세스 (2단계): 활성 상태 (Live) → 삭제 표시 상태 (Tombstoned) → 물리적 삭제 (Physically deleted)
• 주요 용어:
  • 삭제 표시 (Tombstone): 개체가 삭제되면 즉시 사라지지 않고 '삭제됨'을 알리는 흔적인 'Tombstone'이 됩니다. 이 상태의 개체는 그룹 멤버십 등 대부분의 중요 속성(Attribute)이 제거되어 최소한의 정보만 남습니다.
  • 삭제 표시 수명 (Tombstone Lifetime, TSL): Tombstone이 데이터베이스에 남아있는 기간으로, 최신 환경에서는 기본 180일입니다.
  • 가비지 수집 (Garbage Collection): TSL이 만료된 Tombstone을 데이터베이스에서 영구적으로 제거하는 자동 정리 프로세스입니다.
• 복구 방법:
  • Tombstone 되살리기: TSL 기간 내에 LDP.exe와 같은 도구로 개체를 되살릴 수 있으나, 대부분의 속성이 제거되었기 때문에 그룹 멤버십 등이 누락된 불완전한 복구만 가능합니다.
  • 권한 있는 복원 (Authoritative Restore): 모든 속성을 완벽하게 복구할 수 있는 유일한 방법입니다. 하지만 DC를 DSRM으로 재부팅하고 백업에서 데이터를 복원해야 하는 등 과정이 매우 복잡하고 서비스 중단이 발생합니다.

---

2. AD 휴지통 기능이 활성화되었을 때 (현대 방식)

두 번째 이미지는 AD 휴지통 기능(Windows Server 2008 R2부터 도입)을 활성화했을 때의 향상된 삭제 방식을 설명합니다.

• 삭제 프로세스 (3단계): 활성 상태 (Live) → 삭제된 개체 (Deleted) → 재활용된 개체 (Recycled) → 물리적 삭제 (Physically deleted)
• 주요 용어:
  • 삭제된 개체 (Deleted Object): AD 휴지통 기능의 핵심입니다. 개체가 삭제되면, 모든 속성을 그대로 보존한 상태로 '삭제된 개체'가 됩니다.
  • 삭제된 개체 수명 (Deleted Object Lifetime, DOL): 개체가 모든 속성을 보존한 채로 남아있는 기간입니다. 기본적으로 TSL과 동일한 180일이며, 이 기간 내에는 완벽한 복구가 가능합니다.
  • 재활용된 개체 (Recycled Object): DOL 기간(180일)이 지나면, '삭제된 개체'는 '재활용된 개체' 상태로 전환됩니다. 이 상태는 과거의 Tombstone과 같이 대부분의 속성이 제거된 상태입니다.
• 복구 방법:
  • DOL 기간 내 복구: 'Active Directory 관리 센터(GUI)'나 PowerShell을 사용하여 단 몇 번의 클릭이나 명령어만으로 모든 속성(그룹 멤버십 포함)을 완벽하게 복원할 수 있습니다. DC를 재부팅하거나 복잡한 절차를 거칠 필요가 전혀 없습니다.

결론: 핵심 차이점

가장 큰 차이점은 속성 보존 여부입니다.

• 전통 방식은 개체를 삭제하는 순간 대부분의 속성이 사라져 완벽한 복구가 매우 어려웠습니다.
• AD 휴지통 방식은 '삭제된 개체(Deleted Object)'라는 중간 단계를 두어 일정 기간(DOL, 180일) 동안 모든 속성을 그대로 보존합니다. 덕분에 관리자는 실수로 삭제된 개체를 매우 쉽고 빠르게, 그리고 완벽하게 복원할 수 있습니다.

따라서 AD 환경을 운영할 때 AD 휴지통 기능을 활성화하는 것은 이제 선택이 아닌 필수적인 모범 사례로 여겨집니다.