다음을 통해 공유


그룹 관리 서비스 계정 시작

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 문서에서는 Windows Server에서 그룹 관리 서비스 계정을 사용하도록 설정하고 사용하는 방법을 알아봅니다.

서비스의 모든 인스턴스가 동일한 보안 주체를 사용하지 않는 한 Kerberos와 같은 상호 인증을 지원하는 인증 프로토콜을 사용할 수 없습니다. 예를 들어 클라이언트 컴퓨터가 부하 분산을 사용하는 서비스에 연결하거나 모든 서버가 클라이언트와 동일한 서비스로 표시되는 다른 메서드에 연결하는 경우입니다. 즉, 각 서비스는 ID를 증명하기 위해 동일한 암호 또는 키를 사용해야 합니다. gMSA(그룹 관리 서비스 계정)는 여러 서버에서 사용할 수 있는 계정 유형입니다. gMSA는 암호를 관리할 필요 없이 여러 서버에서 서비스를 실행하는 데 사용할 수 있는 do기본 계정입니다. gMSA는 다른 관리자에게 관리 위임을 포함하여 자동 암호 관리 및 간소화된 SPN(서비스 사용자 이름) 관리를 제공합니다.

참고 항목

장애 조치(failover) 클러스터는 gMSA를 지원하지 않습니다. 그러나 클러스터 서비스를 기반으로 실행되는 서비스가 Windows 서비스, 응용 프로그램 풀 또는 예약된 작업이거나 기본적으로 gMSA 또는 sMSA를 지원하는 경우에는 gMSA 또는 sMSA를 사용할 수 있습니다.

서비스는 사용할 보안 주체를 선택할 수 있습니다. 각 보안 주체 유형은 서로 다른 서비스를 지원하며 제한 사항이 다릅니다.

보안 주체 지원되는 서비스 암호 관리
Windows 시스템의 컴퓨터 계정 도메인 가입 서버 하나로 제한 컴퓨터에서 관리
Windows 시스템이 없는 컴퓨터 계정 모든 도메인 가입 서버 None
가상 계정 서버 하나로 제한 컴퓨터에서 관리
Windows 독립 실행형 관리 서비스 계정 도메인 가입 서버 하나로 제한 컴퓨터에서 관리
사용자 계정 모든 도메인 가입 서버 None
그룹 관리 서비스 계정 모든 Windows Server가 기본 조인된 서버 도메인 컨트롤러에서 관리하고 호스트에서 검색

Windows 컴퓨터 계정, Windows SMSA(독립 실행형 관리 서비스 계정) 또는 가상 계정은 여러 시스템에서 공유할 수 없습니다. 가상 계정을 사용하는 경우 ID도 컴퓨터에 로컬이며 do기본 인식되지 않습니다. 서버 팜의 서비스에서 공유할 계정 하나를 구성하려면 Windows 시스템과 별개인 사용자 계정 또는 컴퓨터 계정을 선택해야 합니다. 어느 쪽이든 이러한 계정에는 단일 제어 지점 암호 관리 기능이 없습니다. 암호 관리가 없으면 각 조직은 Active Directory의 서비스에 대한 키를 업데이트하고 이러한 키를 해당 서비스의 모든 인스턴스에 배포해야 합니다.

Windows Server를 사용하는 경우 서비스 및 서비스 관리자는 gMSA(그룹 관리 서비스 계정)를 사용할 때 서비스 인스턴스 간의 암호 동기화를 관리할 필요가 없습니다. AD에서 gMSA를 만든 다음 관리 서비스 계정을 지원하는 서비스를 구성합니다. gMSA의 사용 범위는 LDAP를 사용하여 gMSA의 자격 증명을 검색할 수 있는 모든 컴퓨터로 범위가 지정됩니다. Active Directory 모듈의 New-ADServiceAccount 일부인 cmdlet을 사용하여 gMSA를 만들 수 있습니다. 다음 서비스는 호스트에서 서비스 ID 구성을 지원합니다.

  • sMSA와 동일한 API이므로 sMSA를 지원하는 제품은 gMSA를 지원합니다.

  • Service Control Manager를 사용하여 로그온 ID를 구성하는 서비스

  • 애플리케이션 풀에 IIS 관리자를 사용하여 ID를 구성하는 서비스

  • 작업 스케줄러를 사용하는 작업

필수 조건

다음 표에는 gMSA를 사용하는 서비스에서 Kerberos 인증을 사용하기 위한 운영 체제 요구 사항이 나와 있습니다. Active Directory 요구 사항은 이 표 다음에 설명되어 있습니다.

64비트 아키텍처에서는 그룹 관리 서비스 계정을 관리하는 데 사용되는 Windows PowerShell 명령을 실행해야 합니다.

운영 체제

요소 요건
클라이언트 애플리케이션 호스트 RFC 호환 Kerberos 클라이언트
사용자 계정의 할 일기본 DC RFC 호환 KDC
공유 서비스 구성원 호스트
멤버 호스트의 할 일기본 DC RFC 호환 KDC
gMSA 계정의 할 일기본 DC 호스트에서 암호를 검색할 수 있는 Windows Server 2012 DC
백 엔드 서비스 호스트 RFC 호환 Kerberos 애플리케이션 서버
백 엔드 서비스 계정의 할 일기본 DC RFC 호환 KDC
Active Directory용 Windows PowerShell Active Directory 도메인 Services 원격 서버 관리사용자 도구

Active Directory Domain Services

그룹 관리 서비스 계정에는 AD DS(Active Directory 도메인 Services)에서 다음과 같은 요구 사항이 있습니다.

  • Active Directory do기본 및 포리스트 기능 수준은 Windows Server 2012 이상이어야 합니다. 스키마 업데이트에 대한 자세한 내용은 Active Directory 수행기본 및 포리스트 기능 수준 올리기를 참조하세요.

  • 그룹별로 gMSA를 사용하도록 서비스 호스트 권한을 관리하는 경우 새 보안 그룹 또는 기존 보안 그룹을 사용합니다.

  • 그룹별로 서비스 액세스 제어를 관리하는 경우 새 보안 그룹 또는 기존 보안 그룹입니다.

  • Active Directory에 대한 KDS(키 배포 서비스) 루트 키는 do기본 만들어야 합니다. 생성 결과는 KdsSvc 운영 로그 Event ID 4004에서 확인할 수 있습니다. KDS 루트 키를 만드는 방법에 대한 자세한 내용은 키 배포 서비스 KDS 루트 키 만들기를 참조하세요.

키를 만드는 방법에 대한 지침은 키 배포 서비스 KDS 루트 키 만들기를 참조 하세요. Microsoft 키 배포 서비스(kdssvc.dll)는 AD용 루트 키입니다.

새 서버 팜 배포

gMSA 기능을 사용하여 서버 팜을 만들고 관리하는 프로세스에는 일반적으로 다음 작업이 포함됩니다.

  • 새 서버 팜 배포

  • 기존 서버 팜에 구성원 호스트 추가

  • 기존 서버 팜에서 구성원 호스트 서비스 해제

  • 기존 서버 팜 서비스 해제

  • 필요한 경우 서버 팜에서 손상된 멤버 호스트 제거

서비스 관리자가 새 서버 팜을 배포하는 경우 다음 정보를 확인해야 합니다.

  • 서비스는 gMSA 사용을 지원합니다.

  • 서비스에는 인바운드 또는 아웃바운드 인증 연결이 필요합니다.

  • gMSA를 사용하는 서비스에 대한 구성원 호스트의 컴퓨터 계정 이름

  • 서비스의 NetBIOS 이름

  • 서비스의 DNS 호스트 이름

  • 서비스의 SPN(서비스 사용자 이름)

  • 암호 변경 간격(기본값: 30일)

그룹 관리 서비스 계정 만들기

포리스트 스키마가 Windows Server 2012 이상인 경우에만 gMSA를 만들 수 있습니다. 또한 Active Directory용 KDS 루트 키를 배포해야 하며, gMSA를 만들려는 do기본에 하나 이상의 Windows Server 2012 이상에서 기본 컨트롤러가 있어야 합니다.

Important

gMSA 계정 이름은 할 일뿐만 아니라 포리스트 수준 내에서 고유해야 기본. 다른 do기본에서도 중복된 이름으로 gMSA 계정을 만들려고 시도하면 실패합니다.

Do기본 관리 멤버 자격 또는 msDS-GroupManagedServiceAccount 개체를 만드는 기능은 다음 절차를 완료하는 데 필요한 최소값입니다.

PowerShell을 사용하여 gMSA를 만들려면 다음 단계를 수행합니다.

  1. Windows Server 2012 do기본 컨트롤러의 작업 표시줄에서 Windows PowerShell을 실행합니다.

  2. Windows PowerShell에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다. (Active Directory 모듈이 자동으로 로드됩니다.)

    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

    참고 항목

    매개 변수 값 -Name 은 세 가지 배포 시나리오에 대한 보조 요구 사항과 -RestrictToOutboundAuthentication 함께 -DNSHostName-RestrictToSingleComputer항상 필수(지정 -Name 여부에 관계없이)입니다.

    매개 변수 문자열 예시
    이름 계정 이름 ITFarm1
    DNSHostName 서비스의 DNS 호스트 이름 ITFarm1.contoso.com
    KerberosEncryptionType 호스트 서버에서 지원되는 모든 암호화 종류 None, RC4, AES128, AES256
    ManagedPasswordIntervalInDays 암호 변경 간격(지정하지 않을 경우 기본값은 30일) 90
    PrincipalsAllowedToRetrieveManagedPassword 구성원 호스트 또는 구성원 호스트가 속해 있는 보안 그룹의 컴퓨터 계정 ITFarmHosts
    SamAccountName 서비스의 NetBIOS 이름(Name과 동일하지 않은 경우) ITFarm1
    ServicePrincipalNames 서비스의 SPN(서비스 사용자 이름) http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Important

    암호 변경 간격은 만드는 동안에만 설정할 수 있습니다. 간격을 변경해야 하는 경우 새 gMSA를 만든 후 만들기 과정에서 이를 설정해야 합니다.

    예를 들어 그룹에 대해 호출 ITFarm1 된 새 gMSA를 만들려면 다음 명령을 사용합니다. gMSA를 사용하면 서비스에서 Kerberos 암호화 유형 RC4, AES128 및 AES256을 사용할 수 있습니다. 서비스는 SPNhttp/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contosohttp/ITFarm1/contoso.comhttp/ITFarm1/contoso.

    서식 제약 조건으로 인해 명령이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 명령을 한 줄에 입력해야 합니다.

     New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
    

Do기본 관리s, 계정 연산자 또는 개체를 만드는 msDS-GroupManagedServiceAccount 기능의 멤버 자격은 이 절차를 완료하는 데 필요한 최소값입니다. 적절한 계정 및 그룹 멤버 자격을 사용하는 방법에 대한 자세한 내용은 Active Directory 보안 그룹을 참조하세요.

PowerShell을 사용하는 아웃바운드 인증용 gMSA를 만들려면 단계를 수행합니다.

  1. Windows Server 2012 do기본 컨트롤러의 작업 표시줄에서 Windows PowerShell을 실행합니다.

  2. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 사용합니다.

    New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    다음 예제에서는 테이블의 매개 변수를 사용하여 gMSA를 만듭니다.

    매개 변수 문자열 예시
    이름 계정 이름 ITFarm1
    ManagedPasswordIntervalInDays 암호 변경 간격(지정하지 않을 경우 기본값은 30일) 75
    PrincipalsAllowedToRetrieveManagedPassword 구성원 호스트 또는 구성원 호스트가 속해 있는 보안 그룹의 컴퓨터 계정 ITFarmHosts

    Important

    암호 변경 간격은 만드는 동안에만 설정할 수 있습니다. 간격을 변경해야 하는 경우 새 gMSA를 만든 후 만들기 과정에서 이를 설정해야 합니다.

    다음과 같이 이러한 매개 변수를 사용하는 예제 명령입니다.

    New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
    

서비스 ID 애플리케이션 서비스 구성

Windows Server에서 서비스를 구성하려면 다음 문서를 참조하세요.

다른 서비스에서도 gMSA를 지원할 수 있습니다. 이러한 서비스를 구성하는 방법에 대한 자세한 내용은 해당 제품 설명서를 참조하세요.

기존 서버 팜에 멤버 호스트 추가

멤버 호스트를 관리하기 위해 보안 그룹을 사용하는 경우 다음 방법 중 하나를 사용하여 새 멤버 호스트의 컴퓨터 계정을 보안 그룹에 추가합니다(gMSA의 멤버 호스트가 멤버임).

다음 절차를 완료하려면 최소한 Domain Admins의 구성원이거나 보안 그룹 개체에 구성원을 추가할 수 있는 권한이 있어야 합니다.

컴퓨터 계정을 사용하는 경우 기존 계정을 찾은 다음 새 컴퓨터 계정을 추가합니다.

다음 절차를 완료하려면 최소한 Domain Admins또는 Account Operators의 구성원이거나 msDS-GroupManagedServiceAccount 개체를 관리할 수 있는 권한이 있어야 합니다. 적절한 계정과 그룹 구성원 사용에 대한 자세한 내용은 로컬 및 도메인 기본 그룹을 참조하세요.

PowerShell을 사용하여 멤버 호스트 추가

  1. Windows Server 2012 do기본 컨트롤러의 작업 표시줄에서 Windows PowerShell을 실행합니다.

  2. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

다음 예제에서는 테이블의 매개 변수를 사용하여 서버 팜에 멤버를 추가합니다.

매개 변수 문자열 예시
이름 계정 이름 ITFarm1
PrincipalsAllowedToRetrieveManagedPassword 구성원 호스트 또는 구성원 호스트가 속해 있는 보안 그룹의 컴퓨터 계정 Host1, Host2, Host3

다음 예제에서는 팜 ITFarm1의 현재 멤버를 가져옵니다.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

다음 예제에서는 기존 서버 팜 ITFarm1에 멤버 호스트를 추가합니다.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

그룹 관리 서비스 계정 속성 업데이트

다음 절차를 완료하려면 최소한 Domain Admins또는 Account Operators의 구성원이거나 msDS-GroupManagedServiceAccount 개체를 쓸 수 있는 권한이 있어야 합니다.

Windows PowerShell용 Active Directory 모듈을 열고 cmdlet을 Set-ADServiceAccount 사용하여 속성을 설정합니다.

이러한 속성을 설정하는 방법에 대한 자세한 내용은 TechNet 라이브러리의 Set-ADServiceAccount를 참조하거나 Windows PowerShell 명령 프롬프트용 Active Directory 모듈을 입력 Get-Help Set-ADServiceAccount 하고 Enter 키를 누릅니다.

기존 서버 팜에서 멤버 호스트 제거

다음 절차를 완료하려면 최소한 Domain Admins의 구성원이거나 보안 그룹 개체에서 구성원을 제거할 수 있는 권한이 있어야 합니다.

멤버 호스트를 관리하기 위해 보안 그룹을 사용하는 경우 gMSA의 멤버 호스트가 다음 방법 중 하나를 사용하는 멤버인 보안 그룹에서 서비스 해제된 멤버 호스트에 대한 컴퓨터 계정을 제거합니다.

컴퓨터 계정을 나열하는 경우 기존 계정을 검색한 다음 제거된 컴퓨터 계정을 제외하고 모든 컴퓨터 계정을 추가합니다.

다음 절차를 완료하려면 최소한 Domain Admins또는 Account Operators의 구성원이거나 msDS-GroupManagedServiceAccount 개체를 관리할 수 있는 권한이 있어야 합니다. 적절한 계정과 그룹 구성원 사용에 대한 자세한 내용은 로컬 및 도메인 기본 그룹을 참조하세요.

PowerShell을 사용하여 멤버 호스트 제거

  1. Windows Server 2012 do기본 컨트롤러의 작업 표시줄에서 Windows PowerShell을 실행합니다.

  2. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

다음 예제에서는 테이블의 매개 변수를 사용하여 서버 팜에 대한 멤버를 제거합니다.

매개 변수 문자열 예시
이름 계정 이름 ITFarm1
PrincipalsAllowedToRetrieveManagedPassword 구성원 호스트 또는 구성원 호스트가 속해 있는 보안 그룹의 컴퓨터 계정 Host1, Host3

다음 예제에서는 팜 ITFarm1의 현재 멤버를 가져옵니다.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

다음 예제에서는 기존 서버 팜 ITFarm1에서 멤버 호스트를 제거합니다.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

시스템에서 그룹 관리 서비스 계정 제거

호스트 시스템에서 Uninstall-ADServiceAccount 또는 NetRemoveServiceAccount API를 사용하여 캐시된 gMSA 자격 증명을 구성원 호스트에서 제거합니다.

이 절차를 완료하려면 최소한 Administrators그룹의 구성원이거나 이와 동등한 자격이 필요합니다.

PowerShell을 사용하여 gMSA 제거

  1. Windows Server 2012 do기본 컨트롤러의 작업 표시줄에서 Windows PowerShell을 실행합니다.

  2. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    Uninstall-ADServiceAccount <ADServiceAccount>

    다음 예제에서는 컴퓨터에서 Active Directory 관리 서비스 계정을 제거합니다.

    Uninstall-ADServiceAccount ITFarm1
    

Uninstall-ADServiceAccount cmdlet에 대한 자세한 내용을 보려면 Windows PowerShell Active Directory 모듈 명령 프롬프트에서 Get-Help Uninstall-ADServiceAccount를 입력하고 Enter 키를 누르거나, TechNet 웹 Uninstall-ADServiceAccount를 참조하세요.