4.2. 디렉터리 트리 설계
디렉터리 트리를 계획할 때 다음과 같은 주요 결정을 내립니다.
- 데이터를 포함할 접미사를 선택합니다.
- 디렉터리 트리 구조를 생성하여 데이터 항목 간 계층 관계를 결정합니다.
- 디렉터리 트리 계층 구조의 항목의 이름을 지정합니다.
4.2.1. 접미사 선택
접미사는 디렉터리 트리의 루트에 있는 항목의 이름이며 디렉터리 데이터는 그 아래에 저장됩니다. 디렉터리에는 접미사가 두 개 이상 포함될 수 있습니다. 공통 루트가 없는 두 개 이상의 정보 트리가 있는 경우 여러 접미사를 사용할 수 있습니다. 기본적으로 표준 Directory Server 배포에는 여러 접미사가 포함되어 있으며, 하나는 구성 정보 및 디렉터리 스키마와 같은 내부 디렉터리 작업에 필요한 데이터에 대해 데이터를 저장하는 데 사용됩니다.
접미사 이름 지정 규칙
디렉터리의 모든 항목을 일반 기본 항목인 루트 접미사로 찾아야 합니다. 루트 디렉터리 접미사 이름을 선택하는 경우 이름을 유효하게 만들려면 다음을 수행해야 합니다.
- 전역적으로 고유
- 고정
- 이렇게 하면 아래 항목을 쉽게 읽을 수 있습니다.
- 쉽게, 사람이 입력하고 기억할 수 있도록
단일 엔터프라이즈 환경에서는 엔터프라이즈의 DNS 이름 또는 인터넷 도메인 이름과 일치하는 디렉토리 접미사를 선택할 수 있습니다. 예를 들어 엔터프라이즈에 example.com
의 도메인 이름이 있는 경우 디렉터리 접미사는 dc=example,dc=com
입니다. dc
속성은 도메인 이름을 구성 요소 부분으로 분할하여 접미사를 나타냅니다. 일반적으로 임의의 속성을 사용하여 루트 접미사의 이름을 지정할 수 있습니다. 그러나 호스팅 조직의 경우 루트 접미사를 다음 속성으로 제한해야 합니다.
dc
- 도메인 이름의 구성 요소를 정의합니다.
c
- ISO에서 정의한 대로 국가 이름을 나타내는 두 자리 코드를 포함합니다.
l
- 항목이 위치하거나 항목과 연결된 시지, 도시 또는 기타 지리적 영역을 식별합니다.
st
- 항목이 있는 상태 또는 주를 식별합니다.
o
- 항목이 속한 조직의 이름을 식별합니다.
이러한 속성은 구독자 애플리케이션과의 상호 운용성을 제공합니다. 예를 들어 호스팅 조직은 이러한 속성을 사용하여 클라이언트 example_a
중 하나에 root 접미사 o=example_a, st=Washington,c=US
를 생성할 수 있습니다.
조직 이름 뒤에 국가 지정을 사용하는 것은 접미사에 대한 X.500
이름 지정 규칙에 따라 일반적입니다.
여러 접미사 이름
디렉터리의 각 접미사는 고유한 디렉터리 트리입니다. 별도의 데이터베이스 Directory Server에 저장된 여러 디렉터리 트리를 만들 수 있습니다.
예를 들어 example_a
및 example_b
에 대한 별도의 접미사를 생성하여 별도의 데이터베이스에 저장할 수 있습니다.
리소스 제한에 따라 단일 서버 또는 여러 서버에 데이터베이스를 저장할 수 있습니다.
4.2.2. 디렉터리 트리 구조 생성
플랫 또는 계층 트리 구조를 사용할지 여부를 결정합니다. 디렉터리 트리를 최대한 플랫으로 만듭니다. 그러나 복제를 준비할 때 또는 액세스 제어를 설정할 때 정보가 여러 데이터베이스에 분할되는 경우 일정 양의 계층 구조가 중요할 수 있습니다.
트리 구조에는 다음 단계와 고려 사항이 포함됩니다.
- 디렉터리 분기
- 분기 지점 식별
- 복제 고려 사항
- 액세스 제어 고려 사항
4.2.2.1. 디렉터리 분기
문제가 있는 이름 변경을 방지하려면 네임스페이스가 최대한 플랫이어야 합니다. 디렉터리 트리를 계층화할수록 이름에 더 많은 구성 요소가 있을 수 있으며 이름이 변경될 가능성이 높아집니다.
디렉터리 트리 계층 구조를 설계하려면 다음 지침을 사용합니다.
- 기업에서 가장 큰 조직 하위 분류만 표시하도록 트리를 분기합니다. 분기 지점을 기업 정보 서비스, 고객 지원, 영업 및 엔지니어링과 같은 부서로 제한해야 합니다. 디렉터리 트리를 분기하는 데 사용되는 분할이 안정적인지 확인합니다. 기업이 자주 재구성하는 경우 이러한 종류의 분기를 수행하지 마십시오.
-
분기 지점의 실제 조직 이름이 아닌 기능 또는 일반 이름을 사용합니다. 하위 트리의 이름을 바꿀 때 접미사가 많은 경우 이름 변경 프로세스가 리소스 집약적이고 오래 걸립니다. 예를 들어 research
and Development 대신
사용하십시오.Engineering
을 -
유사한 기능을 수행하는 조직이 여러 개 있는 경우 해당 기능에 대한 단일 분기 지점을 생성합니다. 예를 들어 여러 마케팅 조직이 있지만 각 조직이 특정 제품 라인을 담당하는 경우 각각 단일
ou=Marketing
하위 트리를 생성합니다. 그런 다음 모든 마케팅 항목은 해당 트리에 속합니다.
엔터프라이즈 환경의 분기
변경할 가능성이 없는 정보를 기반으로 디렉터리 트리 구조를 계획하는 경우 이름 변경을 방지할 수 있습니다. 예를 들어, 조직이 아닌 트리의 오브젝트 유형을 기반으로 하는 구조를 기반으로 하는 경우입니다.
다음 공통 오브젝트를 사용하여 구조를 정의합니다.
-
ou=people
-
ou=groups
-
ou=contracts
-
ou=services
다음 다이어그램은 이러한 오브젝트를 사용하여 구성된 디렉터리 트리를 보여줍니다.
호스팅 환경에서 분기
호스팅 환경의 경우 오브젝트 클래스 조직
(O)의 두 항목이 포함된 트리와 루트 접미사 아래에 있는 개체 클래스 organizationalUnit
(ou
)의 하나의 항목을 만듭니다. 예를 들어
Example
HCI라는 인터넷 서비스 공급자는 다음과 같은 방식으로 디렉토리를 분기합니다.
4.2.2.2. 분기 지점 식별
디렉터리 트리에서 분기를 계획할 때 분기 지점을 식별하는 데 사용할 속성을 결정합니다. 분기 지점은 ou=people
,l=Japan
,cn=Barbara Jansen
등과 같은 attribute-data 쌍입니다. DN은 이러한 특성 데이터 쌍으로 구성된 고유한 문자열입니다. 예를 들어, Example Company 의 직원인 Barbara Jensen 에 대한 항목의 DN은 다음과 같습니다.
uid=bjensen,ou=people,dc=example,dc=com
.
다음 다이어그램에서 ou=people
,ou=groups
,cn=Barbara Jensen
,cn=Billie Holiday
분기 지점이 있는 Example Company 의 디렉터리 트리의 예를 참조하십시오.
다음 다이어그램에서 인터넷 공급자 예제 Example HCI의 디렉터리 트리 예제를 참조하십시오.
루트 접미사 항목 o=example,c=US
아래에 트리가 세 개의 분기로 나뉩니다. o=ISP
브랜치에는 고객 데이터 및 Example Cryostat에 대한 내부 정보가 포함되어 있습니다. o=internet
분기는 도메인 트리입니다. ou=groups
분기에는 관리 그룹에 대한 정보가 포함되어 있습니다.
분기 지점의 속성을 선택할 때 다음 권장 사항을 고려하십시오.
일관성이 있어야 합니다.
DN 형식이 디렉터리 트리에서 일치하지 않는 경우 일부 LDAP 클라이언트 애플리케이션에서 DN(고유 이름)을 찾지 못할 수 있습니다. 디렉터리 트리의 한 부분에서
ou
가o
아래에 있는 경우 디렉터리 서비스의 다른 모든 부분에서ou
가o
아래에 있는지 확인합니다.기존 속성만 사용합니다.
기존 속성을 사용하면 Directory Server가 타사 LDAP 클라이언트 애플리케이션과 호환될 가능성이 높아집니다. 기존 속성을 사용하면 기본 디렉터리 스키마가 이를 알고 있음을 의미합니다.
기존 속성 | 설명 |
---|---|
|
도메인 이름의 요소(예: |
| 국가 이름입니다. |
| 조직 이름입니다. 이 속성을 사용하여 기업 부서, 학문적 평가, 인도, 과학, 자회사 또는 기업 내의 기타 주요 분기와 같은 대규모 부서 분기를 나타냅니다. 이 속성을 사용하여 도메인 이름을 나타낼 수 있습니다. |
| 조직 단위입니다. 이 속성을 사용하여 조직보다 소규모 기업 분기를 나타냅니다. 조직 단위는 일반적으로 이전 조직에 종속됩니다. |
| 주 또는 주 이름입니다. |
L 또는 | 도시, 국가, 사무실 또는 시설 이름과 같은 지역입니다. |
일반적인 오류는 고유 이름에 사용된 특성을 기반으로 디렉터리가 검색된다고 가정하는 것입니다. 고유 이름은 디렉터리 항목의 고유 식별자일 뿐이며 검색 키로 사용할 수 없습니다. 대신 항목 자체에 저장된 attribute-data 쌍을 기반으로 항목을 검색합니다. 따라서 항목 고유 이름이 uid=bjensen,ou=People,dc=example,dc=com
인 경우
이 해당 항목의 속성으로 명시적으로 추가되지 않는 한 해당 항목과 일치하지 않습니다.
dc:example
4.2.2.3. 복제 고려 사항
복제할 항목을 계획합니다. 하위 트리 상단에 DN을 지정하고 그 아래의 모든 항목을 복제할 수 있습니다. 이 하위 트리는 디렉터리 데이터의 일부를 포함하는 디렉터리 부분인 데이터베이스에도 해당합니다.
예를 들어 엔터프라이즈 환경에서는 엔터프라이즈의 네트워크 이름에 해당하도록 디렉터리 트리를 구성할 수 있습니다. 네트워크 이름은 변경 되지 않으므로 디렉터리 트리 구조가 안정적입니다.
예를 들어, Example Company의 세 가지 주요 네트워크는lightd Cryostat.example.com , ticket .example.com
, ticket.example.com
, hangar.example.com
이라는 세 가지 주요 네트워크가 있습니다. 이 회사는 처음에 디렉터리 트리를 주요 조직 부서의 세 가지 주요 그룹으로 분기합니다. 다음 그림에서 디렉터리 트리의 초기 분기를 참조하십시오.
트리의 초기 구조를 만든 후 회사는 추가 분기를 생성합니다. 다음 그림에서 확장 분기를 참조하십시오.
또 다른 예에서 인터넷 공급자인 ExampleHCI에는 공급자 요구 사항을 충족하기 위해 다음과 같은 초기 분기가 있습니다.
나중에 ExampleHCI에서 논리 하위 그룹에 대한 추가 분기를 생성합니다. 다음 그림에서 확장 분기를 참조하십시오.
Enterprise Example Company와 호스팅 조직 둘 다 일반적으로 변경되지 않는 정보를 기반으로 데이터 계층을 설계합니다.
4.2.2.4. 액세스 제어 고려 사항
디렉터리 트리의 계층 구조를 사용하여 특정 유형의 액세스 제어를 활성화할 수 있습니다. 복제와 마찬가지로 유사한 항목을 그룹화한 다음 단일 분기에서 관리하는 것이 더 쉽습니다.
계층적 디렉터리 트리를 통해 관리할 수 있습니다. 예를 들어 마케팅 부서의 관리자에게 마케팅 항목에 대한 액세스 권한과 영업 부서의 관리자에게 영업 항목에 대한 액세스 권한을 부여하려면 해당 부서에 따라 디렉터리 트리를 설계합니다.
또한 디렉터리 트리가 아닌 디렉터리 콘텐츠를 기반으로 액세스 제어를 설정할 수 있습니다. ACS(액세스 제어 명령) 메커니즘을 사용하면 특정 항목이 특정 특성 값을 포함하는 모든 항목에 액세스할 수 있도록 허용할 수 있습니다. 예를 들어 영업 관리자에게 속성 값이 포함된 모든 항목에 액세스할 수 있는 ACI를 설정합니다.
그러나 ACI는 관리하기가 어려울 수 있습니다. 디렉터리 트리 계층 구조의 조직 분기 또는 두 가지 조합의 액세스 제어 방법을 결정합니다.
4.2.3. 항목 이름 지정
디렉터리 트리의 계층을 설계한 후 구조 내의 항목의 이름을 지정할 때 사용할 속성을 결정해야 합니다. 하나 또는 여러 특성 값을 선택할 때 상대 고유 이름 (RDN)을 형성합니다. RDN은 DN의 왼쪽 부분이며, 해당 부분에 대해 선택한 속성은 이름 지정 속성입니다. naming 속성은 항목의 고유한 이름을 설정합니다. 예를 들어 DN uid=bjensen,ou=people,dc=example,dc=com
에는 RDN uid=bjensen
.
선택한 속성은 이름 지정에 따라 다릅니다.
항목의 이름을 지정할 때는 다음을 고려하십시오.
- 이름 지정에 대해 선택한 특성을 변경하지 않아야 합니다.
- 이름은 디렉터리에서 고유해야 합니다. 고유한 이름을 사용하면 DN이 디렉터리의 하나의 항목만 나타냅니다.
항목을 생성할 때 항목 내에 RDN을 정의합니다. 항목 내에 정의된 RDN을 사용하면 항목을 보다 쉽게 배치할 수 있습니다. 이는 검색에서 실제 DN을 기반으로 하지 않고 항목 자체에 저장된 속성 값을 기반으로 하는 항목을 찾기 때문입니다.
특성 이름에는 의미가 있으므로 나타내는 항목 유형과 일치하는 속성 이름을 사용하십시오. 예를 들어 조직을 나타내는 데 l
(로케이션)을 사용하거나 조직 단위를 나타내는 c
(국가)를 사용하지 마십시오.
4.2.3.1. 디렉터리 트리에서 사용자 항목 이름 지정
사용자 항목 이름은 고유해야 합니다. 일반적으로 사람 항목의 이름을 지정하려면 commonName
또는 cn
을 사용하여 상대 고유 이름(RDN)을 형성합니다. 예를 들어 Babs Jensen
이라는 이름의 항목에는 고유 이름(DN)이 cn=Babs Jensen,dc=example,dc=com
임을 가질 수 있습니다.
RDN에서 공통 이름만 사용하면 항목 이름을 고유하게 만들고 DN 이름 충돌을 유발하는 여러 동일한 항목이 생성될 수 있습니다.
cn=Babs Jensen+employeeNumber=23,dc=example,dc=com
과 같은 일반 이름 충돌을 방지합니다. 그러나 이로 인해 대규모 디렉터리의 일반 이름이 어색하게 될 수 있으며 유지 관리하기 어려울 수 있습니다.
더 나은 방법은 cn 이외의 일부 특성을 사용하여 사람 항목을 식별하는 것입니다. 다음 속성 중 하나를 사용하는 것이 좋습니다.
- uid
-
uid
속성을 사용하여 사용자 로그인 ID 또는 직원 번호와 같은 특정 사용자 값을 지정합니다.uid
특성을 통해 호스팅 환경에서 구독자를 식별합니다. -
mail
속성에는 항상 고유한 사람 이메일 주소가 포함되어 있습니다. 이 속성은mail=bjensen@example.com,dc=example,dc=com
과 같은 중복 속성 값을 포함하는 어색한 DN으로 이어질 수 있습니다.uid
속성의 고유 값을 찾을 수 없는 경우에만 이 옵션을 사용합니다. 예를 들어 엔터프라이즈에서 임시 또는 계약직원에 직원 번호 또는 사용자 ID를 할당하지 않는 경우uid
속성 대신mail
속성을 사용합니다. - employeeNumber
-
inetOrgPerson
오브젝트 클래스의 직원의 경우employeeNumber
특성을 사용합니다.
직접 항목 RDN에 대해 특성-데이터 쌍에 사용하는 경우 고유하고 영구 값인지 확인합니다. RDN 사용자 항목도 읽을 수 있어야 합니다. 예를 들어 DN uid=bjensen,dc=example,dc=com
은 uid=b12r56A,dc=example,dc=com
보다 더 선호되며 고유 이름을 기반으로 디렉터리 항목 변경과 같은 일부 디렉터리 작업을 간소화합니다. 또한 일부 디렉터리 클라이언트 애플리케이션에서는 uid
및 cn
속성이 사람이 읽을 수 있는 이름을 사용한다고 가정합니다.
호스트된 환경의 사용자 항목에 대한 고려 사항
사용자가 서비스에 대한 구독자인 경우 항목에 inetUser
오브젝트 클래스가 있어야 하며 uid
속성을 포함해야 합니다. 속성은 customer 하위 트리 내에서 고유해야 합니다.
사람이 호스팅 조직의 일부인 경우 nsManagedPerson
개체 클래스와 함께 inetOrgPerson
속성을 사용합니다.
디렉터리 트리에 직접 항목 배치
디렉터리 트리에 사람 항목을 배치하려면 다음 지침을 사용합니다.
- 디렉터리 트리의 조직 항목 아래에 있는 엔터프라이즈에서 사용자를 찾습니다.
-
호스팅 조직의
ou=people
분기 아래에 있는 호스팅 조직의 구독자를 찾습니다.
4.2.3.2. 디렉터리 트리에서 그룹 항목 이름 지정
다음 방법을 사용하여 그룹을 나타낼 수 있습니다.
정적 그룹은 멤버를 명시적으로 정의합니다.
groupOfNames
또는groupOfUniqueNames
오브젝트 클래스에는 그룹 멤버의 이름을 지정하는 값이 포함되어 있습니다. 정적 그룹은 디렉터리 관리자 그룹과 같이 멤버가 적은 그룹에 적합하며 수천 명의 멤버가 있는 그룹에 적합하지 않습니다.uniqueMember
는groupOfUniqueNames
오브젝트의 필수 특성이므로 정적 그룹 항목에는uniqueMember
속성 값이 포함되어야 합니다. 이 오브젝트 클래스에는 그룹 항목의 DN을 형성하는 데 사용할 수 있는cn
속성이 필요합니다.- 동적 그룹은 필터를 지정하고 필터와 일치하는 모든 항목은 이 그룹의 멤버입니다.
- 역할은 정적 및 동적 그룹 개념을 통합합니다.
호스팅된 환경에서는 groupOfUniqueNames
오브젝트 클래스를 사용하여 디렉터리 관리에 사용되는 그룹의 멤버라는 값을 포함하는 것이 좋습니다.
또한 ou=Groups
분기에서 디렉터리 관리에 사용하는 그룹 항목을 찾습니다.
추가 리소스
4.2.3.3. 조직 항목 이름 지정
조직 항목 이름은 고유해야 합니다. 조직의 법적 이름을 다른 속성 값과 함께 사용하면 o=example_a+st=Washington,o=ISP,c=US
와 같이 이름이 고유한지 확인하는 데 도움이 됩니다.
상표를 사용할 수도 있지만 고유하지는 않을 수 있습니다.
호스팅 환경에서 조직 항목에 다음 속성을 포함합니다.
-
O (organizationName)
-
top
,organization
,nsManagedDomain
의 값이 있는objectclass
4.2.3.4. 다른 항목 이름 지정
디렉터리에는 지역, 상태, 국가, 장치, 서버, 네트워크 정보 및 기타 데이터 유형과 같은 다양한 정보를 나타내는 항목이 포함되어 있습니다. 이러한 유형의 항목에 대해 RDN에서 cn
속성을 사용합니다. 그룹 항목의 이름을 cn=administrators,dc=example,dc=com
으로 지정할 수도 있습니다.
경우에 따라 항목 오브젝트 클래스에서 commonName
속성을 지원하지 않는 경우가 있습니다. 대신 항목 오브젝트 클래스에서 지원하는 속성을 사용합니다. 이름 지정 속성은 항목에서 실제로 사용하는 속성에 해당하지 않아도 됩니다. 그러나 항목에 사용되는 DN 속성과 특성 간의 상관 관계가 있는 경우 디렉터리 트리를 더 쉽게 관리할 수 있습니다.
4.2.4. 항목 및 하위 트리 이름 변경
항목 이름은 디렉터리 트리 구조를 정의합니다. 각 분기 지점은 계층에 새 링크를 생성합니다.
dc=example,dc=com => root suffix ou=People,dc=example,dc=com => org unit st=California,ou=People,dc=example,dc=com => state/province l=Mountain View,st=California,ou=People,dc=example,dc=com => city ou=Engineering,l=Mountain View,st=California,ou=People,dc=example,dc=com => org unit uid=jsmith,ou=Engineering,l=Mountain View,st=California,ou=People,dc=example,dc=com => leaf entry
항목의 이름 지정 특성, 항목 RDN을 변경하면 modrdn 작업을 수행합니다. 이 수정 작업은 디렉터리 트리 내에서 항목을 이동합니다. 리프 항목( 자식이 없는 항목)의 경우 modrdn
작업만 RDN 부분만 변경하므로 상위 항목은 동일하게 유지됩니다.
하위 트리 항목의 경우 modrdn
작업에서는 하위 트리 항목 자체의 이름을 바꾸고 하위 트리 아래의 모든 하위 항목의 DN 구성 요소를 변경합니다.
하위 트리 modrdn
작업도 이동 및 하위 트리 항목 아래의 모든 하위 항목의 이름을 변경합니다. 대규모 하위 트리의 경우 시간과 리소스를 많이 사용하는 프로세스가 될 수 있습니다. 자주 하위 트리 이름 변경 작업이 필요하지 않도록 디렉터리 트리 계층 구조의 이름 지정 구조를 계획합니다.
하위 트리의 이름을 바꾸는 것과 유사한 작업이 한 하위 트리에서 다른 하위 트리로 항목을 이동하는 것입니다. 확장된 이러한 유형의 modrdn
작업은 동일한 이름인 경우에도 항목의 이름을 동시에 바꾸고 항목을 부모 간에 이동하는 newsuperior
특성을 설정합니다.
Directory Server는 entryrdn.db
인덱스를 사용하여 새로운 정상 및 하위 트리 이름 변경 작업을 수행합니다. Directory Server는 각 항목을 자체 링크, 상위 링크 및 하위 링크로 식별합니다. entryrdn.db
인덱스는 부모와 하위 항목을 항목의 속성으로 제공하고 모든 항목을 전체 DN이 아닌 고유 ID와 RDN으로 설명합니다.
entryrdn.db
인덱스의 형식은 다음과 같습니다.
numeric_id:RDN => self link ID: ; RDN: "rdn"; NRDN: normalized_rdn P:RDN => parent link ID: ; RDN: "rdn"; NRDN: normalized_rdn C:RDN => child link ID: #; RDN: "rdn"; NRDN: normalized_rdn
예를 들어 ou=people
하위 트리에는 dc=example,dc=com
상위 및 uid=jsmith
하위 항목이 있습니다. entryrdn.db
인덱스에는 다음과 같은 내용이 있습니다.
4:ou=people ID: 4; RDN: "ou=people"; NRDN: "ou=people" P4:ou=people ID: 1; RDN: "dc=example,dc=com"; NRDN: "dc=example,dc=com" C4:ou=people ID: 10; RDN: "uid=jsmith"; NRDN: "uid=jsmith"
이름 변경 작업을 수행할 때는 다음을 고려하십시오.
- 루트 접미사의 이름을 변경할 수 없습니다.
- 복제 계약을 재구성할 필요가 없습니다. Directory Server는 데이터베이스 내의 하위 트리가 아닌 전체 데이터베이스에 복제 계약을 적용합니다.
- 하위 트리 이름 변경 작업 후 모든 동기화 계약을 재구성해야 할 수 있습니다. 동기화 계약은 접미사 또는 하위 트리 수준에서 설정되므로 하위 트리의 이름을 변경하면 동기화가 중단될 수 있습니다.
- 하위 트리의 하위 항목에 대해 설정된 모든 하위 트리 수준 ACI 및 모든 항목 수준 ACI 세트를 수동으로 재구성해야 합니다.
- 하위 트리의 이름을 자식으로 변경할 수는 있지만 하위 트리를 자식으로 삭제할 수는 없습니다.
-
ou
에서dc
로 이동하는 것과 같이 하위 트리의 구성 요소를 변경하려고 하면 스키마 위반으로 실패할 수 있습니다. 예를 들어organizationalUnit
오브젝트 클래스에는ou
특성이 필요합니다. 작업이organizationalUnit
개체 클래스에서ou
특성을 제거하려고 하면 하위 트리 작업이 실패합니다.