서비스 계정
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
서비스 계정은 Windows Server 운영 체제에서 실행되는 서비스에 대한 보안 컨텍스트를 제공하기 위해 명시적으로 만든 사용자 계정입니다. 보안 컨텍스트는 로컬 및 네트워크 리소스에 액세스하는 서비스의 기능을 결정합니다. Windows 운영 체제는 서비스를 사용하여 다양한 기능을 실행합니다. 이러한 서비스는 애플리케이션, 서비스 스냅인 또는 작업 관리자를 통해 또는 Windows PowerShell을 사용하여 구성할 수 있습니다.
이 문서에는 다음과 같은 유형의 서비스 계정에 대한 정보가 포함되어 있습니다.
독립 실행형 관리 서비스 계정
관리되는 서비스 계정은 인터넷 정보 서비스(IIS)와 같은 중요한 애플리케이션에서 do기본 계정을 격리하도록 설계되었습니다. 관리자가 계정에 대한 SPN(서비스 사용자 이름) 및 자격 증명을 수동으로 관리할 필요가 없습니다.
관리되는 서비스 계정을 사용하려면 애플리케이션 또는 서비스가 설치된 서버에서 Windows Server 2008 R2 이상을 실행해야 합니다. 하나의 관리 서비스 계정을 단일 컴퓨터의 서비스에 사용할 수 있습니다. 관리되는 서비스 계정은 여러 컴퓨터 간에 공유할 수 없으며 여러 클러스터 노드에서 서비스가 복제본(replica) 서버 클러스터에서 사용할 수 없습니다. 이 시나리오에서는 그룹 관리 서비스 계정을 사용해야 합니다. 자세한 내용은 그룹 관리 서비스 계정 개요를 참조하세요.
중요한 서비스에 대한 개별 계정을 사용하여 제공되는 향상된 보안 외에도 관리 서비스 계정과 관련된 4가지 중요한 관리 혜택이 있습니다.
로컬 컴퓨터에서 서비스를 관리하고 기본 데 사용할 수 있는 할 일기본 계정 클래스를 만들 수 있습니다.
관리자가 암호를 수동으로 재설정해야 하는 do기본 계정과 달리 이러한 계정의 네트워크 암호는 자동으로 다시 설정됩니다.
관리 서비스 계정을 사용하기 위해 복잡한 SPN 관리 작업을 완료할 필요가 없습니다.
관리 서비스 계정에 대한 관리 작업을 관리자가 아닌 사용자에게 위임할 수 있습니다.
참고 항목
관리 서비스 계정은 이 문서의 시작 부분에서 "적용 대상"에 나열된 Windows 운영 체제에만 적용됩니다.
그룹 관리 서비스 계정
그룹 관리 서비스 계정은 Windows Server 2008 R2에서 도입된 독립 실행형 관리 서비스 계정의 확장입니다. 이러한 계정은 다른 관리자에게 관리 위임을 포함하여 자동 암호 관리 및 간소화된 SPN 관리를 제공하는 관리되는 do기본 계정입니다.
그룹 관리 서비스 계정은 do기본 내에서 독립 실행형 관리 서비스 계정과 동일한 기능을 제공하지만 여러 서버에 걸쳐 해당 기능을 확장합니다. 네트워크 부하 분산과 같이 서버 팜에서 호스트되는 서비스에 연결하는 경우 상호 인증을 지원하는 인증 프로토콜을 사용하려면 서비스의 모든 인스턴스에서 동일한 보안 주체를 사용해야 합니다. 그룹 관리 서비스 계정이 서비스 주체로 사용되는 경우 Windows Server 운영 체제는 관리자가 암호를 관리하는 대신 계정의 암호를 관리합니다.
Microsoft kdssvc.dll(키 배포 서비스)는 AD(Active Directory) 계정의 키 식별자를 사용하여 최신 키 또는 특정 키를 안전하게 가져오는 메커니즘을 제공합니다. 이 서비스는 Windows Server 2012에서 도입되었으며 이전 버전의 Windows Server 운영 체제에서 실행되지 않습니다. 키 배포 서비스는 계정에 대한 키를 만드는 데 사용되는 비밀을 공유합니다. 이러한 키는 정기적으로 변경됩니다. 그룹 관리 서비스 계정의 경우 do기본 컨트롤러는 그룹 관리 서비스 계정의 다른 특성 외에도 키 배포 서비스에서 제공하는 키에 대한 암호를 계산합니다.
그룹 관리형 실용 애플리케이션
그룹 관리 서비스 계정은 서버 팜 또는 네트워크 부하 분산을 사용하는 시스템에서 실행되는 서비스에 대한 단일 ID 솔루션을 제공합니다. 그룹 관리 서비스 계정 솔루션을 제공하여 그룹 관리 서비스 계정 주체에 대한 서비스를 구성할 수 있으며, 암호 관리는 운영 체제에서 처리됩니다.
서비스 관리자는 그룹 관리 서비스 계정을 사용하여 서비스 인스턴스 간의 암호 동기화를 관리할 필요가 없습니다. 그룹 관리 서비스 계정은 오랜 기간 동안 오프라인으로 유지되는 호스트와 서비스의 모든 인스턴스에 대한 멤버 호스트 관리를 지원합니다. 이 프로비전은 기존 클라이언트 컴퓨터가 연결하는 서비스의 인스턴스를 모르고 인증할 수 있는 단일 ID를 지원하는 서버 팜을 배포할 수 있음을 의미합니다.
장애 조치(failover) 클러스터는 그룹 관리 서비스 계정을 지원하지 않습니다. 그러나 클러스터 서비스 위에서 실행되는 서비스는 Windows 서비스, 앱 풀 또는 예약된 작업인 경우 또는 기본적으로 그룹 관리 서비스 계정 또는 독립 실행형 관리 서비스 계정을 지원하는 경우 그룹 관리 서비스 계정 또는 독립 실행형 관리 서비스 계정을 사용할 수 있습니다.
그룹 관리 소프트웨어 요구 사항
그룹 관리 서비스 계정은 Windows Server 2012 이상을 실행하는 컴퓨터에서만 구성하고 관리할 수 있습니다. 그러나 계정은 Windows Server 2012 이전 운영 체제를 실행하는 컨트롤러가 아직 기본 기본 단일 서비스 ID 솔루션으로 배포할 수 있습니다. 도메인 또는 포리스트 기능 수준의 요구 사항은 없습니다.
그룹 관리 서비스 계정을 관리하는 데 사용되는 Windows PowerShell 명령을 실행하려면 64비트 아키텍처가 필요합니다.
관리 서비스 계정은 Kerberos에서 지원하는 암호화 유형에 따라 달라집니다. 클라이언트 컴퓨터가 Kerberos 프로토콜을 사용하여 서버에 인증하는 경우 do기본 컨트롤러는 do기본 컨트롤러 및 서버에서 지원하는 암호화로 보호되는 Kerberos 서비스 티켓을 만듭니다. do기본 컨트롤러는 계정의 msDS-SupportedEncryptionTypes 특성을 사용하여 서버에서 지원하는 암호화를 결정합니다. 특성이 없으면 클라이언트 컴퓨터가 더 강력한 암호화 유형을 지원하지 않는다고 가정합니다. AES(Advanced Encryption Standard)는 항상 관리 서비스 계정에 대해 구성되어야 합니다. 관리 서비스 계정을 호스트하는 컴퓨터가 RC4를 지원하지 않도록 구성된 경우 인증은 항상 실패합니다.
참고 항목
Windows Server 2008 R2에 도입된 DES(데이터 암호화 표준)는 기본적으로 사용하지 않도록 설정되어 있습니다. 그룹 관리 서비스 계정은 Windows Server 2012 이전의 Windows 운영 체제에는 적용되지 않습니다.
지원되는 암호화 유형에 대한 자세한 내용은 Kerberos 인증의 변경 내용을 참조하세요.
위임된 관리 서비스 계정
Windows Server 2025에 도입된 이제 dMSA(위임된 관리 서비스 계정)라는 새 유형의 계정이 추가되었습니다. 이 계정 유형을 사용하면 사용자가 기존 서비스 계정에서 관리 및 완전 임의 키가 있는 컴퓨터 계정으로 전환하면서 원래 서비스 계정 암호를 사용하지 않도록 설정할 수 있습니다. dMSA에 대한 인증은 디바이스 ID에 연결됩니다. 즉, AD에 매핑된 지정된 컴퓨터 ID만 계정에 액세스할 수 있습니다. 사용자는 dMSA를 사용하여 기존 서비스 계정과 연결된 손상된 계정을 사용하여 자격 증명 수집의 일반적인 문제를 방지할 수 있습니다.
사용자는 dMSA를 독립 실행형 계정으로 만들거나 기존 표준 서비스 계정을 해당 계정으로 바꿀 수 있습니다. 기존 계정이 dMSA로 대체되면 이전 계정의 암호를 사용한 인증이 차단됩니다. 대신 요청은 DMSA를 사용하여 인증을 위해 LSA(로컬 보안 기관)로 리디렉션됩니다. 이 요청은 AD의 이전 계정과 동일한 리소스에 액세스할 수 있습니다. 자세한 내용은 위임된 관리 서비스 계정 개요를 참조하세요.
가상 계정
가상 계정은 Windows Server 2008 R2 및 Windows 7에서 도입되었습니다. 다음과 같은 이점을 제공하여 서비스 관리를 간소화하는 관리되는 로컬 계정입니다.
- 가상 계정은 자동으로 관리됩니다.
- 가상 계정은 do기본 환경에서 네트워크에 액세스할 수 있습니다.
- 암호 관리가 필요하지 않습니다. 예를 들어 Windows Server 2008 R2에서 SQL Server를 설정하는 동안 서비스 계정에 기본값을 사용하는 경우 인스턴스 이름을 서비스 이름으로 사용하는 가상 계정이 NT SERVICE\<SERVICENAME> 형식으로 설정됩니다.
가상 계정으로 실행되는 서비스는 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 <액세스합니다기본_name>\<computer_name>$.
가상 서비스 계정을 구성하고 사용하는 방법을 알아보려면 서비스 계정 단계별 가이드를 참조하세요.
참고 항목
가상 계정은 이 문서의 시작 부분에서 "적용 대상"에 나열된 Windows 운영 체제에만 적용됩니다.
참고 항목
독립 실행형 관리 서비스 계정, 그룹 관리 서비스 계정 및 가상 계정과 관련된 다른 리소스는 다음을 참조하세요.
| 내용 유형 | 참조 |
|---|---|
| 제품 평가 | 관리 서비스 계정의 새로운 기능 그룹 관리 서비스 계정 시작 |
| 배포 | Windows Server 2012: 그룹 관리 서비스 계정 - PFE(프리미어 필드 엔지니어링) 플랫폼 요청 - 사이트 홈 - TechNet 블로그 |
| 관련 기술 | 보안 주체 Active Directory Domain Services의 새로운 기능 |