이 문서에서는 컴퓨터 사용을 한 도메인 사용자로만 제한하는 방법을 설명합니다.
원래 KB 번호: 555317
이 문서는 Microsoft MVP인 Yuval Sinay가 작성했습니다.
증상
한 도메인(포리스트)에서 다른 도메인으로 트러스트 연결을 만들 때 사용자는 자신의 홈 도메인(계정을 호스트하는 도메인)과 다른 도메인/s에 로그인할 수 있습니다.
원인
한 도메인에서 다른 도메인 또는/및 다른 포리스트로의 연결/s를 신뢰하면 사용자가 홈 도메인(계정을 호스트하는 도메인)과 다른 도메인/s에 로그인할 수 있습니다. 각 컴퓨터의 "인증된 사용자" 그룹을 사용하면 신뢰할 수 있는 도메인의 사용자를 인증하고 컴퓨터에 로그온할 수 있습니다.
해결
옵션 A: 도메인 전체 정책
Windows 2000/2003 도메인에서 그룹 정책 기능을 사용하면 사용자/s가 홈 도메인과 다른 도메인/s에 로그인하지 못하도록 할 수 있습니다.
새 도메인 전체 GPO를 만들고 대상 도메인의 원본 도메인 사용자 계정/sIn에 대한 "로컬 로그온 거부" 사용자 권한을 사용하도록 설정합니다.
참고 항목
일부 서비스(예: Backup 소프트웨어 서비스)는 이 정책에 영향을 줄 수 있으며 작동하지 않습니다. 향후 문제를 제거하려면 이 정책을 적용하고 GPO 보안 필터 기능을 사용합니다.
로컬 로그온 거부
보안 그룹을 사용하여 필터링
도메인 컨트롤러에서
Gpupdate /force실행합니다.
옵션 B: 사용자 그룹 목록에서 "NT AUTHORITY\Authenticated Users" 사용 제거
하나 또는 몇 대의 컴퓨터에서 로깅 옵션을 제거하려면 다음 지침을 따르세요.
바탕 화면에서 "내 컴퓨터" 아이콘을 마우스 오른쪽 단추로 클릭합니다.
"관리"를 선택합니다.
"로컬 사용자 및 그룹"을 추출합니다.
"그룹"을 선택합니다.
화면 오른쪽에서 "사용자" 그룹을 두 번 클릭합니다.
제거: 목록에서 "NT AUTHORITY\Authenticated Users"
요구 사용자/s 또는 그룹/s를 "사용자" 로컬 그룹에 추가합니다.
옵션 C: 로컬 컴퓨터에서 "로컬로 로그온 거부" 사용자 권한 구성
하나 또는 몇 대의 컴퓨터에서 로깅 옵션을 제거하려면 다음 지침을 따르세요.
"시작" -> "실행"으로 이동합니다.
"Gpedit.msc"를 작성합니다.
원본 도메인 사용자 계정에 대한 "로컬 로그온 거부" 사용자 권한을 사용하도록 설정합니다.
참고 항목
일부 서비스(예: Backup 소프트웨어 서비스)는 이 정책에 영향을 줄 수 있으며 작동하지 않습니다.
로컬 로그온 거부
로컬 컴퓨터에서 실행
Gpupdate /force합니다.
옵션 D: 포리스트 트러스트를 사용할 때 선택적 인증 사용
포리스트 트러스트 만들기
자세한 정보
커뮤니티 솔루션 콘텐츠 고지 사항
Microsoft Corporation 및/또는 개별 공급업체는 본 문서에 포함된 정보의 적합성, 신뢰성 또는 정확성에 대해 어떠한 진술도 하지 않습니다. 이러한 모든 정보 및 관련 그래픽은 어떤 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft 및/또는 개별 공급업체는 상품성, 특정 목적에의 적합성, 숙련된 노력, 소유권 및 비침해와 관련된 모든 묵시적 보증 및 조건을 포함하여 이 정보 및 관련 그래픽과 관련한 모든 보증과 조건을 부인합니다. 귀하는 Microsoft 및/또는 해당 공급업체가 어떤 경우에도 본 문서에 포함된 정보 및 관련 그래픽 사용 또는 사용 불가로 인해/그와 관련하여 발생하는 사용 불가, 데이터/수익 손실을 포함하되 이에 국한되지 않는 직접적, 간접적, 징벌적, 부수적, 특별, 결과적 손해 또는 기타 모든 손해에 대해 책임을 지지 않음에 동의합니다. 이는 그러한 손해가 계약, 불법 행위, 과실, 엄정 책임 또는 기타 원인으로 인해 발생한 경우와 Microsoft 또는 해당 공급업체가 그러한 손해의 가능성을 사전에 알고 있었던 경우에도 마찬가지입니다.