이 단계에서는 PAM에서 관리할 환경을 호스트할 준비를 합니다. 필요한 경우 새 도메인 및 포리스트( CORP 포리스트)에 도메인 컨트롤러 및 멤버 워크스테이션을 만듭니다. 해당 포리스트에 대한 액세스는 다음 단계에서 만든 PRIV 포리스트를 사용하여 요새 환경에서 관리되는 ID에서 수행됩니다. 이 CORP 포리스트는 관리할 리소스가 있는 기존 포리스트를 시뮬레이션합니다. 이 문서에는 보호할 예제 리소스, 파일 공유가 포함되어 있습니다.
도메인 관리자인 Windows Server 2012 R2 이상을 실행하는 도메인 컨트롤러가 있는 기존 AD(Active Directory) 도메인이 이미 있는 경우 해당 도메인을 대신 사용하고 이 문서의 "그룹 만들기" 섹션으로 건너뛸 수 있습니다.
CORP 도메인 컨트롤러 준비
이 섹션에서는 CORP 도메인에 대한 도메인 컨트롤러를 설정하는 방법을 설명합니다. CORP 도메인에서 관리 사용자는 요새 환경에서 관리됩니다. 이 예제에 사용된 CORP 도메인의 DNS(도메인 이름 시스템) 이름은 contoso.local입니다.
Windows Server 설치
가상 머신에 Windows Server 2016 이상을 설치하여 CORPDC라는 컴퓨터를 만듭니다.
Windows Server 2016(데스크톱 환경이 있는 서버)을 선택합니다.
사용 조건을 검토하고 이에 동의합니다.
디스크가 비어 있으므로 사용자 지정을 선택합니다 . Windows만 설치하고 초기화되지 않은 디스크 공간을 사용합니다.
해당 새 컴퓨터에 관리자로 로그인합니다. 제어판으로 이동합니다. 컴퓨터 이름을 CORPDC로 설정하고 가상 네트워크에서 고정 IP 주소를 지정합니다. 서버를 다시 시작합니다.
서버를 다시 시작한 후 관리자 권한으로 로그인합니다. 제어판으로 이동합니다. 업데이트를 확인하고 필요한 업데이트를 설치하도록 컴퓨터를 구성합니다. 서버를 다시 시작합니다.
도메인 컨트롤러를 설정하는 역할 추가
이 섹션에서는 도메인 컨트롤러가 되도록 새 Windows Server를 설정합니다. AD DS(Active Directory Domain Services), DNS 서버 및 파일 서버(파일 및 스토리지 서비스 섹션의 일부) 역할을 추가하고 이 서버를 새 포리스트 contoso.local의 도메인 컨트롤러로 승격합니다.
비고
CORP 도메인으로 사용할 도메인이 이미 있고 해당 도메인이 Windows Server 2012 R2 이상을 도메인 기능 수준으로 사용하는 경우 데모용으로 추가 사용자 및 그룹 만들기로 건너뛸 수 있습니다.
관리자 권한으로 로그인하는 동안 PowerShell을 시작합니다.
다음 명령을 입력합니다.
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork그러면 안전 모드 관리자 암호를 사용할지 묻는 메시지가 표시됩니다. DNS 위임 및 암호화 설정에 대한 경고 메시지가 표시됩니다. 이들은 정상입니다.
포레스트 생성이 완료되면 로그아웃하세요. 서버가 자동으로 재시작됩니다.
서버가 다시 시작되면 도메인의 관리자 권한으로 CORPDC에 로그인합니다. 일반적으로 CONTOSO\Administrator 사용자이며, CORPDC에 Windows를 설치할 때 만들어진 암호를 갖습니다.
업데이트 설치(Windows Server 2012 R2만 해당)
- WINDOWS Server 2012 R2를 CORPDC의 운영 체제로 사용하도록 선택한 경우 핫픽스 2919442, 2919355, 설치하고 CORPDC에 3155495 업데이트해야 합니다.
그룹 만들기
그룹이 아직 없는 경우 Active Directory에서 감사 목적으로 그룹을 만듭니다. 그룹의 이름은 NetBIOS 도메인 이름 뒤에 3달러 기호(예: CONTOSO$$$)가 있어야 합니다.
각 도메인에 대해 도메인 관리자로 도메인 컨트롤러에 로그인하고 다음 단계를 수행합니다.
PowerShell을 시작합니다.
다음 명령을 입력하지만 "CONTOSO"를 도메인의 NetBIOS 이름으로 바꿉니다.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
경우에 따라 그룹이 이미 있을 수 있습니다. 도메인이 AD 마이그레이션 시나리오에서도 사용된 경우 정상입니다.
데모용으로 추가 사용자 및 그룹 만들기
새 CORP 도메인을 만든 경우 PAM 시나리오를 보여 줄 추가 사용자 및 그룹을 만들어야 합니다. 데모용 사용자 및 그룹은 도메인 관리자이거나 AD의 adminSDHolder 설정에 의해 제어되어서는 안 됩니다.
비고
CORP 도메인으로 사용할 도메인이 이미 있고 데모용으로 사용할 수 있는 사용자 및 그룹이 있는 경우 감사 구성 섹션으로 건너뛸 수 있습니다.
CorpAdmins라는 보안 그룹과 Jen이라는 사용자를 만들겠습니다. 원하는 경우 다른 이름을 사용할 수 있습니다. 기존 사용자(예: 스마트 카드)가 이미 있는 경우 새 사용자를 만들 필요가 없습니다.
PowerShell을 시작합니다.
다음 명령을 입력합니다. 암호 'Pass@word1'을 다른 암호 문자열로 바꿉다.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
감사 구성
해당 포리스트에서 PAM 구성을 설정하려면 기존 포리스트에서 감사를 사용하도록 설정해야 합니다.
각 도메인에 대해 도메인 관리자로 도메인 컨트롤러에 로그인하고 다음 단계를 수행합니다.
Windows 관리 도구를>그룹 정책 관리를 시작합니다.
이 도메인에 대한 도메인 컨트롤러 정책으로 이동합니다. contoso.local에 대한 새 도메인을 만든 경우 포리스트: contoso.local>Domains>contoso.local>Domain Controllers>기본 도메인 컨트롤러 정책으로 이동합니다. 정보 메시지가 나타납니다.
기본 도메인 컨트롤러 정책을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다. 새 창이 나타납니다.
그룹 정책 관리 편집기 창의 기본 도메인 컨트롤러 정책 트리에서 컴퓨터 구성>정책>Windows 설정>보안 설정>로컬 정책>감사 정책이동합니다.
세부 정보 창에서 계정 관리 감사을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 이러한 정책 설정정의를 선택하고, 성공확인란에 체크하고, 실패확인란에 체크하고, 적용을 클릭하고, 확인을 클릭합니다.
세부 정보 창에서 디렉터리 서비스 액세스 감사을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 이러한 정책 설정정의를 선택하고, 성공확인란에 체크하고, 실패확인란에 체크하고, 적용을 클릭하고, 확인을 클릭합니다.
그룹 정책 관리 편집기 창과 그룹 정책 관리 창을 닫습니다.
PowerShell 창을 시작하고 다음을 입력하여 감사 설정을 적용합니다.
gpupdate /force /target:computer
컴퓨터 정책 업데이트가 성공적으로 완료되었다는 메시지가 몇 분 후에 표시됩니다.
레지스트리 설정 구성
이 섹션에서는 Privileged Access Management 그룹 만들기에 사용되는 sID 기록 마이그레이션에 필요한 레지스트리 설정을 구성합니다.
PowerShell을 시작합니다.
다음 명령을 입력하여 SAM(보안 계정 관리자) 데이터베이스에 대한 RPC(원격 프로시저 호출) 액세스를 허용하도록 원본 도메인을 구성합니다.
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
그러면 도메인 컨트롤러 CORPDC가 다시 시작됩니다. 이 레지스트리 설정에 대한 자세한 내용은 ADMTv2를 사용하여 포리스트 간 sIDHistory 마이그레이션 문제를 해결하는 방법을 참조하세요.
데모용 CORP 리소스 준비
PAM을 사용하여 보안 그룹 기반 액세스 제어를 시연하려면 도메인에 하나 이상의 리소스가 필요합니다. 리소스가 아직 없는 경우 데모를 위해 CORP 도메인에 가입된 서버의 파일 폴더를 사용할 수 있습니다. 그러면 contoso.local 도메인에서 만든 "Jen" 및 "CorpAdmins" AD 개체가 사용됩니다.
관리자 권한으로 서버에 연결합니다.
CorpFS라는 새 폴더를 만들고 CorpAdmins 그룹과 공유합니다. 관리자 권한으로 PowerShell을 열고 다음 명령을 입력합니다.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclPRIV 사용자가 다른 포리스트에서 이 서버에 연결하므로 사용자의 컴퓨터가 이 서버에 연결할 수 있도록 이 서버의 방화벽 구성을 변경해야 할 수 있습니다.
다음 단계에서는 PRIV 도메인 컨트롤러를 준비합니다.