object management

Q1. “DC=도메인 컨트롤러”의 본질과 개체 관리와의 관계는?
A. DC는 AD DS를 구동하며 AD 데이터베이스 사본 보관·인증/인가 제공·복제를 수행합니다. 개체(사용자, 그룹, 컴퓨터, OU)는 이 데이터베이스에 저장·복제됩니다.
 
Q2. AD 데이터베이스 구성 요소는?
A. NTDS.DIT(DB 파일), EDB.LOG/CHK, 예약 로그, 2016+의 NTDS.JFM 등이 포함됩니다. 오프라인/온라인 조각모음, 무결성 검사, 의미론 분석 같은 유지보수 작업이 있습니다.
 
Q3. 인증/인가와 개체 속성은 어떻게 연결되나?
A. 보안 주체(사용자/컴퓨터/그룹)는 SID를 갖고, 권한 부여는 보안 설명자/ACL/ACE로 표현됩니다. 접근 토큰과 비밀번호 정책이 실효 권한을 결정합니다.
 
Q4. 그룹 스코프(글로벌/도메인 로컬/범용/로컬)의 차이는?
A. 글로벌: 같은 도메인의 사용자/글로벌 그룹 포함, 어디서나 사용. 도메인 로컬: 모든 도메인에서 멤버 포함, 해당 도메인 리소스에만 권한 부여. 범용: 모든 도메인 포함/사용(GC 의존). 로컬(SAM): 개별 컴퓨터에만 영향.
 
Q5. GC(글로벌 카탈로그)의 역할은?
A. 각 도메인 전체 사본 + 다른 도메인의 부분(읽기 전용) 사본을 보유하고, 포리스트 전체 검색과 범용 그룹 멤버십 빌드를 담당합니다. GC가 없으면 로그온 실패가 발생할 수 있습니다.
 
Q6. PAS(Partial Attribute Set)란?
A. GC에 어떤 속성이 포함될지를 스키마에서 정의한 목록입니다. GC 조회 결과가 DC 조회와 다른 이유(부분 속성만 포함)도 PAS 때문입니다.
 
Q7. 기능 수준(DFL/FFL)이 개체 관리에 주는 영향은?
A. 기능 수준은 사용 가능한 AD 기능을 결정합니다. 승급 요건(모든 DC/도메인 상태)과 실제 가능/불가 케이스(예제)가 슬라이드에 정리되어 있습니다.  
 
Q8. FSMO 역할과 개체 작업의 관계는?
A. 스키마 마스터, 도메인 명명 마스터, RID 마스터, PDC 에뮬레이터, 인프라 마스터 등은 특정 쓰기 작업의 단일 권위를 제공합니다(전송/강제 승계 도구: NTDSUTIL). 초동 동기화/가용성 확인이 중요합니다.
 
Q9. 메타데이터 정리(metadata cleanup)는 언제 필요한가?
A. 강제 강등/서버 제거 후 AD에 남은 죽은 DC 개체/연결/NS 기록 등을 제거할 때 필요합니다. 2008+는 Sites and Services/DSA, 2003은 NTDSUTIL 절차를 사용합니다.
 
Q10. 보안 설명자/ACL을 점검·수정하려면 어떤 도구가 유용한가?
A. DSACLS/ICACLS를 이용해 AD 개체나 파일시스템의 ACL을 조회/적용합니다(권한 부여 프로세스의 핵심 구성요소).
 
Q11. SID History는 무엇이며 언제 보이나?
A. 마이그레이션 등에서 권한 연속성을 위해 과거 SID를 보존하는 속성입니다. 인증/토큰에 포함돼 접근을 허용할 수 있어, 사용 후 정리가 모범 사례입니다.
 
Q12. GC 검색과 DC 검색 결과가 다른 이유는?
A. GC는 부분 속성 집합(PAS)만 반환하므로, 동일 개체라도 속성 수가 적게 보일 수 있습니다(예시: 동일 사용자 GC=8개, DC=20개 속성).
 
Q13. 권한 문제를 진단할 때 기본 절차는?
A. 이벤트 로그와 WhoAmI(토큰 확인), DSACLS/ICACLS로 ACL 확인, DCDIAG/REPADMIN으로 DC 상태를 봅니다. 필요 시 LDP/ADSIEdit로 속성 레벨을 검증합니다.  
 
Q14. AD 데이터베이스 유지보수에서 “오프라인 조각모음” 의미는?
A. 데이터 파일을 오프라인 상태로 압축/재배치해 공간을 회수·성능을 개선합니다. ESENTUTL/NTDSUTIL을 사용하며 사전 백업·검증이 필수입니다.
 
Q15. 사용자·그룹·컴퓨터는 인증/인가 측면에서 어떻게 다루나?
A. 모두 보안 주체(SID 보유)이며, 그룹은 멤버십을 통해 권한을 집합적으로 부여합니다. 접근 제어는 ACL/ACE에 기록되고 토큰으로 평가됩니다.
 
Q16. 범용 그룹 남용(토큰 팽창) 방지 설계는?
A. 가능한 Global→Domain Local(AGDLP) 모델을 따르고, 범용 그룹은 교차 도메인 집계가 필요할 때만 사용합니다(범용=어디서나 사용 가능).
 
Q17. 포리스트 전역 검색은 왜 GC로 보내나?
A. GC는 도메인 불문(agnostic) 포리스트 검색을 제공하므로, 동일 질의가 어느 도메인 GC로 가든 일관된 결과를 기대할 수 있습니다(수렴 가정).
 
Q18. 기능 수준 승급 판단에 필요한 검사는?
A. 각 DC/도메인의 동작 버전(MsDS-behavior-version)과 OS 레벨을 점검해 승급 가능 여부를 판단합니다(요건 슬라이드 참고).
 
Q19. 개체 삭제/강등 후 잔여 링크·연결 문제가 생기면?
A. Metadata Cleanup으로 잔여 객체/연결을 정리합니다. 절차/도구는 버전에 따라 다르며(2008+: DSA/사이트, 2003: NTDSUTIL), 사전/사후 점검을 포함합니다.
 
Q20. 현업에서 꼭 익혀야 할 핵심 도구 묶음은?
A. Event Viewer, DcDiag, RepAdmin, LDP, ADSIEdit, PowerShell은 기본입니다. 문제 재현 시 네트워크 모니터링까지 포함한 표준 툴 체인으로 접근하세요.

AD User Management — 20 Q&A

Q1. UPN vs sAMAccountName의 차이와 실무 포인트?
A. UPN은 user@domain 스타일(로그온/클라우드 연계에 유리), sAM은 구버전 호환 20자 제한. 표준 UPN 접미사를 정하고, 앱·IdP와 일치시키는 게 운영 안정성의 핵심.
 
Q2. 사용자 생성 시 최소 속성/정책 체크리스트는?
A. UPN, DisplayName, mail(필요 시), OU 배치, 그룹(역할 기반), 홈/프로필 경로(필요 시), 암호/만료 정책, 로그인 시간/워크스테이션 제한(보안 환경) 등을 표준 템플릿으로 강제.
 
Q3. FGPP(세분화 암호 정책) 적용 원칙은?
A. **PSO는 사용자 또는 “Global Security Group”**에만 적용. 우선순위는 “msDS-PasswordSettingsPrecedence”(숫자 낮을수록 우선). 유효 정책은 Get-ADUserResultantPasswordPolicy로 확인.
 
\Q4. 계정 잠금 트러블슈팅의 1순위는?
A. PDC 에뮬레이터 이벤트(4740), lockoutstatus.exe/ADAudit, DC 보안 로그 상 잠금 원본 IP/서비스 추적. 저장 자격증명(스케줄러/서비스/Outlook/모바일)과 SPN 충돌을 함께 확인.
 
Q5. 서비스 계정은 어떻게 관리?
A. 가능하면 gMSA(그룹 관리형 SA) 채택(자동 비번 회전·SPN 관리 용이). 일반 SA는 최소권한·AES 암호화 옵션(AES128/256)·비번 주기적 갱신.
 
Q6. Kerberos 암호화(“이 계정은 AES 지원”) 체크의 의미?
A. TGS/TGT에서 현대 암호군 사용을 강제해 보안성을 높인다. 단, 레거시 시스템과의 호환성을 미리 검증해야 한다.
 
Q7. SPN과 사용자(서비스) 계정의 관계는?
A. 서비스가 도메인 사용자를 실행 계정으로 쓸 때 SPN이 그 계정에 바인딩된다. setspn -S로 중복 방지, 중복 시 티켓 발급 실패/잘못된 위임이 발생.
 
Q8. 위임(Delegation) 유형과 선택 기준?
A. KCD(Kerberos Constrained Delegation) 기본, 백엔드가 Kerberos 불가면 Protocol Transition 포함 KCD, 고급 시나리오에서만 RBCD(리소스 기반 위임) 사용. 과권한 방지를 위해 SPN·ACL을 엄격히 통제.
 
Q9. AdminSDHolder/SDProp는 왜 중요한가?
A. 보호 대상(도메인 관리자 등)의 ACL을 60분 주기로 강제한다. 위임/자동화가 실패한다면 해당 객체가 보호 대상인지 먼저 확인.
 
Q10. 사용자를 삭제 vs 비활성 중 어느 것이 적절?
A. 보존·감사·메일 박스 이슈가 있으면 비활성+이동(Quarantine OU) 후 일정 기간 보관. 즉시 삭제는 Recycle Bin/백업 전략을 전제로.
 
Q11. SIDHistory는 언제 쓰나?
A. 도메인 마이그레이션·합병에서 접근 권한 연속성을 위해 사용. 남용 시 토큰 비대화·보안 위험 → 사용 후 정리.
 
Q12. 감사(Event) 관점 핵심 ID는?
A. 4720(계정 생성), 4722(활성화), 4725(비활성), 4723/4724(비번 변경/재설정), 4740(잠금), 4767(잠금 해제). 중앙화(Σ/Siem) 수집 권장.
 
Q13. MFA/스마트카드 ‘필수’ 전환 팁은?
A. 대상 그룹 단계적 확대, CRL/OCSP 가용성, 로그인 캐시·오프라인 시나리오(노트북) 검증, 헬프데스크 절차(증명서 재발급) 마련.
 
Q14. 홈 폴더/프로필 경로 운영 시 주의?
A. 권한 상속 차단/Owner 변경, 암호화(EFS/BitLocker) 정책 고려, DFS 네임스페이스·대체 경로 설계로 장애 내성 확보.
 
Q15. 사용자 OU 설계 원칙은?
A. 정책/수명주기/역할 중심의 분리(예: 표준 사용자, 서비스, 외부자), “보호된 컨테이너” 분리, 위임(Helpdesk)은 OU 단위로 최소 권한.
 
Q16. 대량 프로비저닝 자동화 포인트?
A. 표준 CSV→PowerShell 파이프라인, 그룹/라이선스/메일 프로비저닝까지 일관 스크립팅. 실패 롤백·중복 검사 필수.
 
Q17. 사용자 속성 동기/통합(온프렘↔클라우드) 시 유의?
A. 원천 마스터 정의, 필수 속성(immutableId/UPN/mail) 충돌 방지, 동기 루프와 특수문자/길이 제한 검사.
 
Q18. 계정 사용 위치 제한(Logon Workstations) 활용?
A. 고위험/특수 계정에만 선택적으로. 일반 사용자에게 과도하게 적용하면 운영 불편·헬프데스크 볼륨 증가.
 
Q19. 사용 중지/퇴사 처리 표준?
A. 즉시 비활성→세션 종료→그룹 제거→사서함/OneDrive 보존 정책→권한 검토→지연 삭제 또는 보존 컨테이너 이동.
 
Q20. 비번 정책 변경 배포 시 체크 항목?
A. PSO 우선도/중복, 로컬 정책 충돌, 잠금 임계치·관찰 창, SSPR/Helpdesk 절차, 사용자 커뮤니케이션(만료 알림) 자동화.

---

AD Computer Management — 20 Q&A

Q1. 도메인 조인 핵심 조건은?
A. 이름 해석(DNS), 신뢰 경로, 시간 동기(±5분), 조인 권한. 실패 시 nltest /dsgetdc:domain·Test-ComputerSecureChannel로 진단.
 
Q2. 컴퓨터 계정 암호 주기와 의미?
A. 기본 30일 주기로 자동 변경. 보안 채널 무결성을 위해 필요. 문제 시 Reset-ComputerMachinePassword로 강제 재설정.
 
Q3. 보안 채널 끊김 진단?
A. 이벤트 5722/5805, Test-ComputerSecureChannel -Repair, DC/클라이언트 시간 오차·도메인 재인식 확인.
 
Q4. LAPS(Windows LAPS) 도입 포인트?
A. 로컬 관리자 비번을 개별·주기적 회전·AD 속성에 암호화 저장. 접근 ACL 최소화·감사, 헬프데스크 조회 워크플로우 표준화.
 
Q5. BitLocker 키를 AD에 저장할 때 유의?
A. 스키마 준비 및 키 저장 속성 권한(읽기 위임) 최소화. 복구 프로세스(감사·승인)와 오프라인 시나리오 문서화.
 
Q6. 컴퓨터 OU 설계 원칙은?
A. 역할/영역별로 분리(클라이언트/서버/VDI/지점), GPO 스코프 최소화와 위임 경계 일치. “보호된 서버 OU”에 변경·삭제 보호.
 
Q7. 오프로비저닝(이미지/클론) 시 주의?
A. Sysprep 필수, 중복 SID·이름·SPN 방지. 자동조인(답파일/Autopilot/djoin)에서 키·자격증명 보호.
 
Q8. Offline Domain Join(djoin)의 장단점?
A. 장점: 네트워크 없이 계정/신뢰 사전 준비. 단점: 이후 정책/증명서 적용 위해 최초 온라인 접속 필요.
 
Q9. 서버 SPN과 컴퓨터 계정?
A. 서버 역할(IIS/SQL/SMB) 실행 계정이 로컬 SYSTEM이면 SPN은 컴퓨터 계정에 바인딩. setspn -L <Computer>로 점검.
 
Q10. GPO 컴퓨터 구성 적용 순서 핵심?
A. 로컬 → 사이트 → 도메인 → OU(하위 덮어씀). 링크 순서·상속 차단·보안 필터링/WMI 필터 확인.
 
Q11. 802.1X/EAP-TLS와 컴퓨터 인증?
A. 부팅 시 머신 인증서로 네트워크 승인. 템플릿/자동등록/CRL·OCSP 가용성·이중 인증 전환(사용자+기기) 전략 필요.
 
Q12. 이름 변경/이동 시 유의사항?
A. SPN 자동 갱신(DC/SQL 등 특수역할은 주의), DNS A/PTR 정리, GPO 재스코핑, 클러스터/앱 바인딩 명칭 영향.
 
Q13. DHCP-DNS 동적 업데이트 연계?
A. DDI(서버 권한 위임) 구성으로 A/PTR 자동화, 보안 업데이트는 인증된 주체만 허용. 권한 오남용 방지.
 
Q14. 시간 동기 설계는?
A. 도메인 PDC 에뮬레이터가 외부 신뢰원에 동기. 멤버/컴퓨터는 계층 규칙으로 PDC를 간접 추종.
 
Q15. 서버 하드닝 기본?
A. 불필요 서비스 차단, TLS1.2+/강력 암호군, SMB 서명/암호화 정책 검토, 로컬 관리자 제한, 감사·EDR 에이전트 표준화.
 
Q16. 대량 배포 자동화의 포인트?
A. MDT/ConfigMgr/Intune/Autopilot 등 표준 도구, 태그 기반 OU/그룹 할당, 실패 롤백·재시도 설계.
 
Q17. DC 승격/강등과 일반 컴퓨터 차이?
A. DC는 도메인 구성요소와 스키마/복제 영향을 가진다. 일반 서버처럼 스냅샷 롤백 금지, 백업 복구는 권장 절차로만.
 
Q18. SChannel/TLS 정책 충돌 진단?
A. 레지스트리/그룹정책, 인증서 EKU, 프로토콜 우선순위, 이벤트(SChannel) 상관. 구버전 클라이언트 호환성 테스트 포함.
 
Q19. 컴퓨터 계정 위임(Delegation) 설정 시 유의?
A. 불필요 위임 금지, KCD 기본, SPN 정확성·백엔드 Kerberos 지원 확인. RBCD 사용 시 ACL 범위 최소화.
 
Q20. 인벤토리/수명주기 관리 필수 데이터는?
A. 소유자/부서/역할, OU/GPO 스코프, 인증서 만료일, LAPS 상태, BitLocker 키, 마지막 로그온/패치 레벨.

---

AD Group Management — 20 Q&A

Q1. 보안 그룹 Scope 3종(Global/Domain Local/Universal) 핵심 요약?
A. AGDLP/AGUDLP 모델 권장:

• 계정→Global 그룹(역할)
• Global→Domain Local(리소스 권한)
• 포리스트/도메인 간 집계 필요 시 Universal 사용(토큰 증가 유의).

Q2. 그룹 변환 규칙은?
A. Global↔Universal, Domain Local↔Universal은 조건부 허용(멤버십/중첩 제약). 도메인/포리스트 경계와 신뢰관계 영향을 사전 검토.
 
Q3. 보안 vs 배포(Distribution) 그룹 차이?
A. 보안 그룹은 ACL 적용 가능, 배포 그룹은 메일링 등 디렉터리 목적. Exchange 연계 시 메일 사용 + 보안 겸용 설계 검토.
 
Q4. 토큰 블로트 원인과 대응?
A. 과도한 중첩·Universal 남용·SIDHistory 잔존. 역할 기반 정리, 그룹 수·깊이 제한, Universal 최소화.
 
Q5. 그룹 기반 권한 부여 표준 절차?
A. 리소스 ACL에 그룹만 매핑(직접 사용자 금지) → 계정은 역할 그룹에만 소속 → 변경은 그룹 멤버십으로만 처리.
 
Q6. 교차 포리스트 권한 부여 팁?
A. Domain Local은 해당 도메인 리소스 전용, 외부 계정을 Global/Universal로 묶어 신뢰를 통해 할당. SID 필터링/Selective Auth 고려.
 
Q7. 관리자 권한 그룹 운영 수칙?
A. 상시 멤버 최소화(즉시 승격/만료 기반), AdminSDHolder 영향 확인, PAM/Just-In-Time 모델 도입 검토.
 
Q8. Restricted Groups vs GPP(Local Users and Groups) 차이?
A. Restricted Groups는 정확 일치 강제, GPP는 증감/추가 중심. 서버군 로컬 관리자 통제에는 조합 사용.
 
Q9. 그룹 변화 감사 핵심 이벤트는?
A. 4727/4728/4729(Global), 4731/4732/4733(Domain Local), 4755/4756/4757(Universal) 등 멤버 추가/제거/생성/삭제 이벤트.
 
Q10. 동적 그룹이 필요할 때 대안은?
A. 온프렘 순정 AD엔 네이티브 동적 그룹이 제한적. IdM/IdaaS(Entra ID 동적 그룹, MIM, 써드파티)로 보완.
 
Q11. 메일 사용 그룹과 주소 정책은?
A. SMTP 주소/숨은 멤버십/승인 발송 등 메일 흐름 정책을 Exchange/메일 게이트웨이와 일관되게 설계.
 
Q12. 그룹 정리(Attestation) 주기와 방법?
A. 분기/반기 재인증, 오너 승인 워크플로우, 비활동 멤버 자동 제거 후보 보고서. 변경 사유/티켓 링크 보존.
 
Q13. Universal 그룹 GC 의존성은?
A. 토큰 계산 시 GC 조회가 필요. 지점·WAN 영향 고려(RODC를 GC로 하거나 UGMC 사용).
 
Q14. Nested 그룹 깊이 제한 권장?
A. 가급적 2~3단 내. 과도한 중첩은 트러블슈팅 어려움·토큰 증가·복제 영향.
 
Q15. 그룹 이름 규칙(Naming Convention)?
A. 접두사(SEC/DIST), 스코프(GL/UG/DL), 역할/시스템/환경(Prod/Dev), 소유자 부서 코드 포함.
 
Q16. 리소스 소유자 위임 모델?
A. 리소스 오너에게 해당 그룹 멤버십 관리 권한만 위임(OU/그룹 단위 Delegation Wizard). AdminSDHolder 대상 제외 주의.
 
Q17. 그룹 만료/임시 권한?
A. JIT/만료 기반(Privileged Access Mgmt), GPP 스케줄링 또는 워크플로우 도구 활용.
 
Q18. SIDHistory가 그룹에도 적용되나?
A. 예, 마이그레이션 중 그룹에도 부여 가능. 마이그레이션 완료 후 정리해 토큰 슬림화.
 
Q19. 대량 멤버십 변경 자동화?
A. CSV→PowerShell(Add-ADGroupMember, Remove-ADGroupMember), 실패 처리·중복·순환 중첩 방지 로직 포함.
 
Q20. 멤버십 조회/문제 추적 팁?
A. Get-ADGroupMember -Recursive, 토큰 내용은 whoami /groups, 복제 지연 고려해 GC/도메인 간 결과 차이 확인.

---

AD Object Management — 20 Q&A

Q1. OU vs 기본 컨테이너(CN=Users 등) 차이?
A. OU는 GPO 링크/위임/보호 설정이 가능해 운영 단위로 적합. 기본 컨테이너는 기능 제한이 있어 OU로 이동이 권장.
 
Q2. “삭제 방지(Protect from accidental deletion)”의 효과?
A. 객체/OU 삭제 시 필수 ACL을 요구해 오조작 방지. 대량 작업/도구 자동화 전 반드시 해제 여부 확인.
 
Q3. 스키마 변경 시 체계는?
A. 단일 포리스트 전역 영향, 롤백 난이도 높음. 랩 검증→CAB 승인→변경 윈도우→백업→ldifde 스크립트화가 표준.
 
Q4. AD Recycle Bin의 의미?
A. Tombstone이 아닌 속성 보존 상태로 복구 가능. 삭제 복구 RTO 단축. 활성화 전/후 동작과 보존 주기를 문서화.
 
Q5. 복제 기본(USN/UTD Vector) 개념 핵심?
A. 각 DC는 변경을 USN 증가로 추적, 파트너별 **업데이트까지의 알고 있는 벡터(UTD)**로 무엇을 받아야 할지 판단. 시계 불일치·Lingering Objects를 막기 위해 엄격한 시간 동기 필요.
 
Q6. Lingering Object 방지는?
A. 허용 기간 초과 DC의 재가동/격리로 발생. Strict Replication Consistency 유지, 정화(repadmin /removelingeringobjects) 절차 숙지.
 
Q7. 권한(ACL)·상속 관리 요령은?
A. 상속 차단 최소화, 표준 위임 템플릿 사용, 보호 대상(AdminSDHolder) 예외 처리, SACL로 변경 감사.
 
Q8. 인덱스/GC 포함 여부 설계?
A. 조회 빈번 속성은 인덱싱/GC 포함을 검토하되, 스키마 변경 영향·복제 비용을 분석해 승인.
 
Q9. LDAP/LDAPS 차이와 배포 포인트?
A. LDAPS(636)는 서버 인증서(EKU=ServerAuth) 필요. CRL 가용성·신규 암호군·클라이언트 신뢰 루트 동기화 필수.
 
Q10. 서비스 연결 지점(SCP)의 역할은?
A. 앱이 AD에 엔드포인트/버전을 게시. 클라이언트는 LDAP로 검색해 자동 발견. 권한/복제 스코프 주의.
 
Q11. PSO(Password Settings Object) 대상/우선순위 로직?
A. PSO는 사용자/Global 그룹에만 직접 연결. 우선순위는 낮은 숫자가 우위, 동률/복잡도는 Resultant PSO 계산으로 확인.
 
Q12. AdminSDHolder/SDProp 메커니즘은?
A. 보호 대상의 ACL을 1시간 주기로 AdminSDHolder와 동기화. OU 위임·자동화 실패 시 이 메커니즘이 원인인 경우 많음.
 
Q13. AD 백업/복구 전략 핵심?
A. 시스템 상태 백업 주기화, 권고 툴 사용. Authoritative Restore(특정 OU/객체 우선 복구)·비권위 복구 시나리오 문서화.
 
Q14. 사이트/서브넷/사이트 링크 객체의 의미?
A. DC Locator·복제 토폴로지를 결정. 사이트/서브넷 매핑 정확성은 로그온 지연·WAN 비용에 직결.
 
Q15. 객체 수명주기(Join→Operate→Retire) 표준화?
A. 생성 템플릿→위임/권한→감사→비활성→보존 컨테이너 이동→삭제/Recycle Bin→보관/법적 요구 준수.
 
Q16. 동적 객체(유효기간 있는 객체)는?
A. 특정 클래스에 TTL을 부여해 일정 시간 후 자동 소멸. 실무 사용은 제한적이며 복제/감사 영향 고려.
 
Q17. GPO(ADMX Central Store)와 AD 객체 관계?
A. 정책 정의 파일은 SYSVOL에 저장, 링크는 **AD 객체(OU/도메인/사이트)**에 존재. 버전/복제 일관성이 중요.
 
Q18. DNS 애플리케이션 파티션(도메인/ForestDNSZones) 핵심?
A. DNS 데이터를 별도 파티션에 저장해 복제 경로/스코프를 최적화. 권한/프록시 업데이트 실패 시 네임해결 장애로 직결.
 
Q19. 감사/변경 추적 모범사례?
A. 고위험 객체 SACL, 중앙 수집, 변경 티켓/승인 링크, 스냅샷/백업 포인트. 스키마/구성 파티션 변경은 별도 경보.
 
Q20. 대량 변경(프로비저닝/정리) 안전장치?
A. “Dry-Run” 모드(보고서/WhatIf), 배치 규모 제한, 트랜잭션/체크포인트 설계, 즉시 롤백 절차와 변경 창 준수.