Windows LAPS 및 Windows Server Active Directory 시작

Windows LAPS(Windows Local 관리istrator Password Solution) 및 Windows Server Active Directory를 시작하는 방법을 알아봅니다. 이 문서에서는 Windows LAPS를 사용하여 Windows Server Active Directory에 암호를 백업하는 기본 절차와 암호를 검색하는 방법을 설명합니다.

기능 수준 기본 컨트롤러 OS 버전 요구 사항을 기본

do기본가 2016 Do기본 DFL(기능 수준) 미만으로 구성된 경우 Windows LAPS 암호 암호화 기간을 사용하도록 설정할 수 없습니다. 암호 암호화가 없으면 클라이언트는 암호를 지우기(Active Directory ACL로 보호됨)에만 저장하도록 구성할 수 있으며 로컬 DSRM 계정을 관리하도록 DC를 구성할 수 없습니다.

기본 2016 DFL에 도달하면 Windows LAPS 암호 암호화를 사용하도록 설정할 수 있습니다. 그러나 WS2016 DC를 계속 실행하는 경우 해당 WS2016 DC는 Windows LAPS를 지원하지 않으므로 DSRM 계정 관리 기능을 사용할 수 없습니다.

이러한 제한 사항을 알고 있는 한 기본 컨트롤러에서 WS2016 이전의 지원되는 운영 체제를 사용하는 것이 좋습니다.

다음 표에서는 지원되거나 지원되지 않는 다양한 시나리오를 요약합니다.

세부 정보 기본	텍스트 지우기 암호 스토리지 지원	암호화된 암호 스토리지 지원(할 일기본 조인된 클라이언트용)	DSRM 계정 관리 지원(DC용)
2016 DFL 미만	예	없음	아니요
하나 이상의 WS2016 DC가 있는 2016 DFL	예	예	예, WS2019 이상 DC에만 해당
WS2019 이상 DC만 있는 2016 DFL	예	네	예

Microsoft는 최신 기능 및 보안 향상을 활용하기 위해 클라이언트, 서버 및 할기본 컨트롤러에서 사용 가능한 최신 운영 체제로 고객을 업그레이드하는 것이 좋습니다.

Windows Server Active Directory 스키마 업데이트

Windows LAPS를 사용하기 전에 Windows Server Active Directory 스키마를 업데이트해야 합니다. 이 작업은 cmdlet을 Update-LapsADSchema 사용하여 수행됩니다. 전체 포리스트에 대한 일회성 작업입니다. 이 작업은 Windows LAPS로 업데이트된 Windows Server 2022 또는 Windows Server 2019 do기본 컨트롤러에서 수행할 수 있지만 Windows LAPS PowerShell 모듈을 지원하는 한 비도기본 컨트롤러에서도 수행할 수 있습니다.

PS C:\> Update-LapsADSchema

팁

매개 변수를 -Verbose 전달하여 cmdlet(또는 LAPS PowerShell 모듈의 다른 cmdlet)이 수행하는 작업을 Update-LapsADSchema 자세히 확인합니다.

관리되는 디바이스에 암호를 업데이트할 수 있는 권한 부여

관리되는 디바이스에 암호를 업데이트할 수 있는 권한이 부여되어야 합니다. 이 작업은 디바이스가 있는 OU(조직 구성 단위)에 상속 가능한 권한을 설정하여 수행됩니다. 이 Set-LapsADComputerSelfPermission 용도로 사용됩니다. 예를 들면 다음과 같습니다.

PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps

Name    DistinguishedName
----    -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com

팁

do기본 루트에 상속 가능한 사용 권한을 설정하려는 경우 DN 구문을 사용하여 전체 do기본 루트를 지정하면 됩니다. 예를 들어 -Identity 매개 변수에 대해 'DC=laps,DC=com'을 지정합니다.

확장 권한 쿼리 권한

일부 사용자 또는 그룹에는 관리되는 디바이스의 OU에 대한 확장 권한 권한이 이미 부여되어 있을 수 있습니다. 이 권한은 기밀 특성을 읽을 수 있는 기능을 부여하기 때문에 문제가 됩니다(모든 Windows LAPS 암호 특성은 기밀로 표시됨). 검사 이러한 권한이 부여된 사용자를 확인하는 한 가지 방법은 cmdlet을 Find-LapsADExtendedRights 사용하는 것입니다. 예시:

PS C:\> Find-LapsADExtendedRights -Identity newlaps

ObjectDN                  ExtendedRightHolders
--------                  --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}

이 예제의 출력에서는 신뢰할 수 있는 엔터티(SYSTEM 및 Do기본 관리s)만 권한을 가집니다. 다른 조치가 필요하지 않습니다.

디바이스 정책 구성

디바이스 정책을 구성하는 몇 가지 단계를 완료합니다.

정책 배포 메커니즘 선택

첫 번째 단계는 디바이스에 정책을 적용하는 방법을 선택하는 것입니다.

대부분의 환경에서는 Windows LAPS 그룹 정책을 사용하여 Windows Server Active Directory-do기본 조인 디바이스에 필요한 설정을 배포합니다.

디바이스가 Microsoft Entra ID에 하이브리드 조인된 경우 Windows LAPS CSP(구성 서비스 공급자)와 함께 Microsoft Intune을 사용하여 정책을 배포할 수 있습니다.

특정 정책 구성

최소한 BackupDirectory 설정을 값 2(Windows Server Active Directory에 백업 암호)로 구성해야 합니다.

관리istratorAccountName 설정을 구성하지 않으면 Windows LAPS는 기본적으로 기본 제공 로컬 관리자 계정을 관리합니다. 이 기본 제공 계정은 잘 알려진 RID(상대 식별자)를 사용하여 자동으로 식별되며 해당 이름을 사용하여 식별해서는 안 됩니다. 기본 제공 로컬 관리자 계정의 이름은 디바이스의 기본 로캘에 따라 달라집니다.

사용자 지정 로컬 관리자 계정을 구성하려면 해당 계정의 이름으로 관리istratorAccountName 설정을 구성해야 합니다.

Important

사용자 지정 로컬 관리자 계정을 관리하도록 Windows LAPS를 구성하는 경우 계정이 만들어졌는지 확인해야 합니다. Windows LAPS는 계정을 만들지 않습니다. RestrictedGroups CSP를 사용하여 계정을 만드는 것이 좋습니다.

조직에 필요한 대로 PasswordLength와 같은 다른 설정을 구성할 수 있습니다.

지정된 설정을 구성하지 않으면 기본값이 적용됩니다. 이러한 기본값을 이해해야 합니다. 예를 들어 암호 암호화를 사용하도록 설정하지만 ADPasswordEncryptionPrincipal 설정을 구성하지 않으면 Do기본 관리s만 암호를 해독할 수 있도록 암호가 암호화됩니다. 비 Do기본 관리를 해독할 수 있도록 하려면 다른 설정으로 ADPasswordEncryptionPrincipal을 구성할 수 있습니다.

Windows Server Active Directory에서 암호 업데이트

Windows LAPS는 정기적으로(매시간) 현재 활성 정책을 처리하고 그룹 정책 변경 알림에 응답합니다. 정책 및 변경 알림에 따라 응답합니다.

Windows Server Active Directory에서 암호가 성공적으로 업데이트되었는지 확인하려면 이벤트 로그에서 10018 이벤트를 확인합니다.

정책을 적용한 후 대기하지 않도록 하려면 PowerShell cmdlet을 Invoke-LapsPolicyProcessing 실행할 수 있습니다.

Windows Server Active Directory에서 암호 검색

cmdlet을 Get-LapsADPassword 사용하여 Windows Server Active Directory에서 암호를 검색합니다. 예시:

PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText

ComputerName        : LAPSAD2
DistinguishedName   : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account             : Administrator
Password            : Zlh+lzC[0e0/VU
PasswordUpdateTime  : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source              : EncryptedPassword
DecryptionStatus    : Success
AuthorizedDecryptor : LAPS\Domain Admins

이 출력 결과는 암호 암호화가 사용됨을 나타냅니다(참조 Source). 암호 암호화를 사용하려면 windows Server 2016 Do기본 기능 수준 이상에 대해 do기본 구성해야 합니다.

암호 회전

Windows LAPS는 각 정책 처리 주기 동안 Windows Server Active Directory에서 암호 만료 시간을 읽습니다. 암호가 만료되면 새 암호가 생성되고 즉시 저장됩니다.

보안 위반 또는 임시 테스트와 같은 일부 상황에서는 암호를 일찍 회전할 수 있습니다. 수동으로 암호 회전을 강제 적용하려면 cmdlet을 Reset-LapsPassword 사용할 수 있습니다.

cmdlet을 Set-LapsADPasswordExpirationTime 사용하여 Windows Server Active Directory에 저장된 예약된 암호 만료 시간을 설정할 수 있습니다. 예시:

PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2

DistinguishedName                           Status
-----------------                           ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset

다음에 Windows LAPS가 절전 모드에서 해제되어 현재 정책을 처리하면 수정된 암호 만료 시간이 표시되고 암호를 회전합니다. 기다리지 않으려면 cmdlet을 Invoke-LapsPolicyProcessing 실행할 수 있습니다.

cmdlet을 Reset-LapsPassword 사용하여 로컬로 암호의 즉시 회전을 강제 적용할 수 있습니다.

참고 항목

• Microsoft Entra ID를 사용하여 Windows 로컬 관리istrator 암호 솔루션 소개
• Microsoft Entra ID의 Windows 로컬 관리istrator 암호 솔루션
• RestrictedGroups CSP
• Microsoft Intune
• Windows LAPS에 대한 Microsoft Intune 지원
• Windows LAPS CSP
• Windows LAPS 문제 해결 지침

다음 단계

• Windows LAPS 정책 설정 구성
• Windows LAPS 이벤트 로그 사용
• Windows LAPS PowerShell cmdlet 사용
• Windows LAPS의 주요 개념