레거시 Microsoft LAPS 에뮬레이션 모드에서 Windows LAPS 시작
레거시 Microsoft LAPS 그룹 정책 설정을 준수하도록 Windows LAPS(Windows 로컬 관리자 암호 솔루션)를 설정할 수 있지만 몇 가지 제한과 한계가 있습니다. 이 기능을 레거시 Microsoft LAPS 에뮬레이션 모드라고 합니다. 레거시 Microsoft LAPS의 기존 배포를 Windows LAPS로 마이그레이션하는 경우 에뮬레이션 모드를 사용할 수 있습니다.
Microsoft LAPS와 마찬가지로 에뮬레이션 모드는 Windows Server Active Directory의 암호 스토리지를 일반 텍스트 형식으로만 지원합니다. 보안을 강화하려면 암호 암호화를 활용할 수 있도록 기본적으로 Windows LAPS를 사용하도록 마이그레이션하는 것이 좋습니다.
설정 및 구성
레거시 Microsoft LAPS 에뮬레이션 모드에서 Windows LAPS를 구성하는 경우 Windows LAPS는 Windows Server Active Directory 환경이 레거시 Microsoft LAPS를 실행하도록 설정되어 있다고 가정합니다. 레거시 Microsoft LAPS 구성에 대한 자세한 내용은 레거시 Microsoft LAPS 문서를 참조하세요.
요구 사항 및 제한 사항
레거시 Microsoft LAPS 에뮬레이션 모드 지원에는 다음과 같은 요구 사항 및 제한 사항이 적용됩니다.
Windows LAPS는 레거시 Microsoft LAPS Windows Server Active Directory 스키마 추가를 지원하지 않습니다.
레거시 Microsoft LAPS 스키마 요소를 사용하여 Windows Server Active Directory 스키마를 확장하려면 도메인 컨트롤러 또는 다른 관리 클라이언트에 레거시 Microsoft LAPS를 설치해야 합니다.
Update-AdmPwdADSchema
cmdlet을 사용하여 스키마를 확장합니다. Windows LAPSUpdate-LapsADSchema
cmdlet은 레거시 Microsoft LAPS 스키마 요소를 추가하지 않습니다.Windows LAPS는 레거시 Microsoft LAPS 그룹 정책 정의 파일을 설치하지 않습니다.
레거시 Microsoft LAPS 그룹 정책을 정의 및 관리하려면 도메인 컨트롤러 또는 다른 관리 클라이언트에 레거시 Microsoft LAPS를 설치해야 합니다.
Windows LAPS는 레거시 Microsoft LAPS ACL(Active Directory 액세스 제어 목록) 관리를 지원하지 않습니다.
레거시 Microsoft LAPS Windows Server Active Directory ACL을 관리하려면 도메인 컨트롤러 또는 다른 관리 클라이언트에 레거시 Microsoft LAPS를 설치해야 합니다. 예를 들어
Set-AdmPwdComputerSelfPermissions
cmdlet을 사용합니다.컴퓨터에 다른 Windows LAPS 정책을 적용할 수 없습니다.
레지스트리Windows LAPS 정책이 컴퓨터에 있는 경우 적용된 방법(구성 서비스 공급자, 그룹 정책 개체 또는 원시 레지스트리 수정)에 관계없이 항상 우선 적용됩니다. Windows LAPS 정책이 있는 경우 레거시 Microsoft LAPS 정책은 항상 무시됩니다. 자세한 내용은 Windows LAPS 정책 설정을 참조하세요.
레거시 Microsoft LAPS는 컴퓨터에 설치해서는 안 됩니다.
이 제한은 Windows LAPS 및 레거시 Microsoft LAPS가 동시에 동일한 로컬 관리자 계정을 관리하는 시나리오를 방지합니다. 두 엔터티가 동일한 계정을 관리하는 것은 보안 위험이며 지원하지 않습니다.
에뮬레이션 기능의 경우 레거시 Microsoft LAPS 그룹 정책 CSE(클라이언트측 확장)가 설치된 경우 레거시 Microsoft LAPS가 설치된 것으로 간주됩니다. 확장을 검색하려면 다음 레지스트리 키에서
DllName
레지스트리 값을 쿼리합니다.HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
DllName 값이 있고 해당 값이 디스크의 파일을 참조하는 경우(파일이 로드되지 않았거나 확인되지 않은 경우) 레거시 Microsoft LAPS가 설치되는 것으로 간주됩니다.
Windows Server Active Directory 사용자 및 컴퓨터 관리 콘솔 레거시 Microsoft LAPS 스키마 특성 읽기 또는 쓰기를 지원하지 않습니다.
Windows LAPS는 Windows Server Active Directory 도메인 컨트롤러에서 Windows LAPS를 구성할 때 항상 레거시 Microsoft LAPS 정책을 무시합니다.
레거시 LAPS 정책에서 지원되지 않는 모든 Windows LAPS 정책 노브는 기본적으로 사용 안 함 또는 기본 설정으로 설정됩니다.
예를 들어 레거시 Microsoft LAPS 에뮬레이션 모드에서 Windows LAPS를 실행하는 경우 암호 암호화 또는 Microsoft Entra ID에 암호 저장과 같은 작업을 수행하도록 Windows LAPS를 구성할 수 없습니다.
이러한 모든 제약 조건이 충족되면 Windows LAPS는 레거시 Microsoft LAPS 그룹 정책 설정을 적용합니다. 지정된 관리되는 로컬 관리자 계정은 레거시 Microsoft LAPS 관리 방법과 동일하게 관리합니다.
레거시 Microsoft LAPS 에뮬레이션 모드 사용 설정 해제
Windows LAPS는 레거시 Microsoft LAPS에서 배포 또는 마이그레이션을 계획할 때 알아야 할 중요한 차이점이 있습니다. 디바이스가 Microsoft Entra ID 또는 Windows Server Active Directory에 조인되면 Windows LAPS는 항상 존재하고 활성화됩니다. 레거시 Microsoft LAPS CSE 설치는 레거시 Microsoft LAPS 정책 적용 시기를 제어하는 메커니즘으로 자주 사용됩니다. Windows 기본 제공 기능인 Windows LAPS는 디바이스에 적용되는 즉시 레거시 Microsoft LAPS 정책 적용을 시작합니다. 예를 들어 새 운영 체제에 대한 설정 및 구성 워크플로 중에 적용이 발생하는 경우와 같이 이러한 즉각적인 적용은 중단될 수 있습니다.
이러한 잠재적 중단을 방지하기 위해 HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config
키 아래에 이름이 BackupDirectory
인 REG_DWORD 레지스트리 값을 만들어 레거시 Microsoft LAPS 에뮬레이션 모드를 사용하지 않도록 설정하고 값 0으로 설정할 수 있습니다. 이 값을 설정하면 레거시 Microsoft LAPS CSE 설치 여부와 관계없이 Windows LAPS는 레거시 Microsoft LAPS 에뮬레이션 모드로 전환되지 않습니다. 이 값은 일시적 또는 영구적으로 사용할 수 있습니다. 새 Windows LAPS 정책이 구성되면 해당 새 정책이 우선적으로 적용됩니다. Windows LAPS 정책 우선 순위 순서에 대한 자세한 내용은 Windows LAPS 정책 설정 구성을 참조하세요.
제한된 관리 지원
Get-LapsADPassword
cmdlet은 레거시 Microsoft LAPS 암호 특성(ms-Mcs-AdmPwd
) 검색을 지원합니다. 결과 출력의 Account
및 PasswordUpdateTime
필드는 항상 비어 있습니다. 예시:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : SV6[y1n3JG+3l8
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
Set-LapsADPasswordExpirationTime
cmdlet은 레거시 Microsoft LAPS 암호 만료 특성(ms-Mcs-AdmPwdExpirationTime
)의 만료 또는 수정을 지원하지 않습니다.
Windows Server Active Directory 사용자 및 컴퓨터 관리 콘솔 Windows LAPS 속성 페이지는 레거시 Microsoft LAPS 특성 표시 또는 관리를 지원하지 않습니다.
로깅
Windows LAPS가 레거시 Microsoft LAPS 에뮬레이션 모드에서 실행되면 10023 이벤트가 기록되어 현재 정책 구성을 자세히 설명합니다.
그렇지 않으면 레거시 Microsoft LAPS 에뮬레이션 모드에서 실행되지 않을 때 Windows LAPS에서 기록한 동일 이벤트도 레거시 Microsoft LAPS 에뮬레이션 모드에서 실행될 때 기록됩니다.
참고 항목
이 문서에서는 레거시 Microsoft LAPS의 다른 측면을 관리하는 방법을 자세히 설명하지 않습니다. 자세한 내용은 다운로드 페이지에서 레거시 Microsoft LAPS 설명서를 참조하세요.