관리 서비스 계정으로 평가 수행
관리 서비스 계정(MSA)은 현재 지원되는 Active Directory Domain Services 버전에서 사용할 수 있는 보안 원칙의 한 유형입니다. 컴퓨터와 사용자 보안 원칙의 특성을 공유합니다. 보안 그룹에 추가하고, 인증하고, 네트워크 리소스에 액세스할 수 있습니다. 서비스, IIS 응용 프로그램 풀, 예약된 작업에서 사용하도록 되어 있습니다.
관리 서비스 계정의 장점
관리 서비스 계정은 서비스, 예약된 작업, IIS 응용 프로그램 풀을 실행하기 위해 사용자 계정을 사용할 때 수반되는 특정 문제를 해결합니다.
- 자동 암호 관리
- 간단한 서비스 사용자 이름(SPN) 관리
- 대화식으로 Windows에 로그인하는 데 사용할 수 없음
- MSA를 인증하고 컨텍스트에서 코드를 실행할 수 있도록 허가된 컴퓨터를 손쉽게 관리
관리되는 서비스 계정을 사용할 수 있는 주문형 평가
관리 서비스 계정은 다음과 같은 주문형 평가를 수행하도록 구성될 수 있습니다.
- PowerShell 연결
- Active Directory 보안
- System Center Configuration Manager
- SharePoint
- SQL Server
- Windows 클라이언트
- Windows Server
참고
관리 서비스 계정은 일부 환경 구성에 대해 Microsoft 고객 서비스에서 공식적으로 지원되지 않습니다. 대부분의 시나리오에서 작동하지만 환경 구성으로 인해 관리되는 서비스 계정 사용이 차단되는 경우 도메인 계정을 사용해야 할 수 있습니다.
관리 서비스 계정 프로비전
MSA로 실행하도록 평가가 예약된 작업을 구성하는 전제 조건은 Active Directory Domain Services에서 MSA를 프로비전하거나 만드는 것입니다. 지원되는 각 평가는 성공적으로 수행되도록 예약된 작업의 인증 및 액세스 요구 사항을 지정합니다. 예약 된 작업 계정의 액세스 요구 사항에 대한 자세한 내용은 지원 평가 시작 문서 작성 및 전제 조건 문서를 참조하십시오.
관리 서비스 계정에는 두 가지 유형이 있습니다. 각 유형은 지원되는 평가를 위해 평가가 예약된 작업에 구성할 수 있습니다.
- 독립 실행형 관리 서비스 계정(가상 계정이 라고도 함)은 도메인에 가입된 단일 컴퓨터에서 인증하는 데만 권한을 부여할 수 있습니다.
- 그룹 관리 서비스 계정은 여러 도메인 컴퓨터에서 인증할 수 있게 권한이 부여될 수 있습니다.
Windows PowerShell Active Directory 모듈은 두 개의 MSA를 프로비전하고 구성해야 합니다. 도메인 컨트롤러는 일반적으로 도메인 컨트롤러 역할을 설치할 때 이 PowerShell 모듈을 설치합니다.
원격 서버 관리자 도구의 구성 요소인 모듈은 서버 관리자를 통해 Windows Server SKU에 추가될 수 있습니다. 모듈은 Windows 10에 추가될 수도 있습니다.
시나리오 1 - 독립형 관리 서비스 계정(sMSA)
Active Directory Domain Services 포리스트 스키마는 적어도 Windows Server 2008 R2에 설치되어야 독립형 관리 서비스 계정을 성공적으로 프로비전할 수 있습니다. 예약된 작업을 sMSA로 실행하는 컴퓨터는 Windows Server 2012 이상에서 실행해야 합니다.
주문형 평가를 수행하기 위해 sMSA를 프로비전하는 데에는 3 단계가 있습니다.
- New-ADServiceAccount PowerShell cmdlet을 사용하여 sMSA를 만듭니다.
- 데이터 수집 컴퓨터가 Add-ADComputerServiceAccount PowerShell cmdlet을 사용하여 sMSA 암호를 가져오도록 허가합니다.
- sMSA에 구성중인 관련 평가에 대한 전제 조건 문서에 따라 평가할 환경에 대한 액세스 권한을 sMSA에 부여하십시오.
독립형 관리 서비스 계정 만들기
sMSA를 만들려면 Active Directory에서 계정을 만드는 데 필요한 권한이 있는 계정을 사용하여(Account Operator 또는 도메인 관리자는 기본적으로 필요한 권한을 보유) Windows PowerShell Active Directory 모듈을 설치하고, 도메인 컨트롤러 또는 도메인 구성원에서 PowerShell 세션 동안 다음 명령을 실행합니다.
New-ADServiceAccount -Name <sMSAaccountname> -RestrictToSingleComputer
예시: PS C:> New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer
데이터 수집 컴퓨터가 sMSA를 사용하도록 허가
데이터 수집 컴퓨터가 sMSA 암호를 가져오도록 허가하려면 Active Directory에서 계정을 만드는 데 필요한 권한이 있는 계정을 사용하여(Account Operator 또는 도메인 관리자는 기본적으로 필요한 권한을 보유) Windows PowerShell Active Directory 모듈을 설치하고, 도메인 컨트롤러 또는 도메인 구성원에서 PowerShell 세션 동안 다음 명령을 실행합니다.
Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”
예시: Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"
데이터 수집 컴퓨터에 sMSA 설치
데이터 수집 컴퓨터에서 sMSA를 미리 캐시하는 작업은 계정을 올바르게 프로비전하고 데이터 수집 컴퓨터가 sMSA 암호를 정상적으로 검색하여 계정을 사용할 수 있도록 하기 위한 주요 유효성 검사 단계입니다. Active Directory PowerShell 모듈이 설치된 데이터 수집 컴퓨터에서 다음 명령을 실행합니다.
Install-ADServiceAccount -Identity “sMSA samaccountname”
예시: Install-ADServiceAccount -Identity "sMSA-SVC$"
참고
Cmdlet not found 오류가 반환되면, 위의 관리되는 서비스 계정 프로비전에서 설명하는 Active Directory Powershell 모듈을 설치합니다.
다른 오류의 경우 MSA 범주 이벤트에 대한 Microsoft-Windows-Security-Netlogon/Operational 이벤트 로그 채널을 검토하십시오.
시나리오 2 - 그룹 관리 서비스 계정(gMSA)
Active Directory Domain Services 포리스트 스키마는 적어도 Windows Server 2012에 설치되어야 그룹 관리 서비스 계정을 성공적으로 프로비전할 수 있습니다. 예약된 작업을 gMSA로 실행하는 컴퓨터는 Windows Server 2012 이상에서 실행해야 합니다.
주문형 평가를 수행하기 위해 gMSA를 프로비전하는 데에는 3 단계가 있습니다.
- Add-KDSRootKey를 사용하여 Active Directory 내에서 키 배포 서비스 KDS 루트 키를 만듭니다.
- gMSA를 만들고 데이터 수집 컴퓨터가 New-ADServiceAccount PowerShell cmdlet을 사용하여 gMSA 암호를 가져오도록 허가합니다.
- 구성중인 관련 평가에 대해 필수 구성 요소 설명서에 따라 평가중인 환경에 대한 액세스 권한을 gMSA에 부여하십시오.
KDS 루트 키 프로비전
KDS 루트 키가 Active Directory 포리스트에서 만들어진 적이 없다면 먼저 이 키를 만들어야 합니다. KDS 루트 키가 있는지를 확인하려면 PowerShell 세션 동안 다음 명령을 실행합니다.
Get-KdsRootKey
참고
이 명령에서 아무것도 반환되지 않는다면 Active Directory 포리스트에 루트 키가 없습니다.
KDS 루트 키를 만들려면 Active Directory에서 계정을 만드는 데 필요한 권한이 있는 계정을 사용하여(포리스트 루트 도메인에 있는 엔터프라이즈 관리자 및 도메인 관리자는 기본적으로 필요한 권한을 보유) Windows PowerShell Active Directory 모듈을 설치하고, 도메인 컨트롤러 또는 도메인 구성원에서 PowerShell 세션 동안 다음 명령을 실행합니다.
Add-KdsRootKey -EffectiveImmediately
Add-KdsRootKey -EffectiveImmediately를 사용하면 복제가 모든 DC로 수렴되도록 10시간 후에 gMSA를 만들 수 있습니다.
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))를 사용하면 즉시 gMSA를 만들 수 있습니다.
이 방법은 AD 복제 수렴 포리스트 전체에서 정상적인 작업에서 몇 시간이 걸리는 경우 gMSA 생성 또는 사용 실패의 일부 위험이 발생합니다.
그룹 관리 서비스 계정 만들기
gMSA를 만들려면 Active Directory에서 계정을 만드는 데 필요한 권한이 있는 계정을 사용하여(Account Operator 또는 도메인 관리자는 기본적으로 필요한 권한을 보유) Windows PowerShell Active Directory 모듈을 설치하고, 도메인 컨트롤러 또는 도메인 구성원에서 PowerShell 세션 동안 다음 명령을 실행합니다.
New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”
예를 들면 PS C:> New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"
데이터 수집 컴퓨터에 gMSA 설치
데이터 수집 컴퓨터의 gMSA를 미리 캐싱하는 중요한 유효성 검사 단계를 통해 계정이 올바르게 프로비전되며 데이터 수집 컴퓨터가 gMSA 암호를 정상적으로 검색하고 계정을 사용할 수 있는지 확인합니다. Active Directory PowerShell 모듈이 설치된 데이터 수집 컴퓨터에서 다음 명령을 실행합니다.
Install-ADServiceAccount -Identity “gMSA samaccountname”
예를 들면 Install-ADServiceAccount -Identity "gMSA-SVC$"
참고
Cmdlet not found 오류가 반환되면, 위의 관리되는 서비스 계정 프로비전에서 설명하는 Active Directory Powershell 모듈을 설치합니다.
다른 오류의 경우 MSA 범주 이벤트에 대한 Microsoft-Windows-Security-Netlogon/Operational 이벤트 로그 채널을 검토하십시오.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기