Windows 인증에 사용되는 그룹 정책 설정
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
IT 전문가를 위한 이 참조 항목에서는 인증 프로세스에서 그룹 정책 설정의 사용 및 영향에 대해 설명합니다.
사용자, 컴퓨터 및 서비스 계정을 그룹에 추가한 다음 해당 그룹에 인증 정책을 적용하여 Windows 운영 체제에서 인증을 관리할 수 있습니다. 이러한 정책은 로컬 보안 정책 및 관리 템플릿(그룹 정책 설정이라고도 함)으로 정의됩니다. 그룹 정책을 사용하여 두 집합을 모두 구성하고 조직 전체에 배포할 수 있습니다.
참고 항목
Windows Server 2012 R2에 도입된 기능을 사용하면 보호된 계정을 사용하여 일반적으로 인증 사일로라고 하는 대상 서비스 또는 애플리케이션에 대한 인증 정책을 구성할 수 있습니다. Active Directory에서 이 작업을 수행하는 방법에 대한 자세한 내용은 보호된 계정을 구성하는 방법을 참조 하세요.
예를 들어 조직의 기능에 따라 그룹에 다음 정책을 적용할 수 있습니다.
로컬로 또는 할 일에 로그온합니다기본
네트워크를 통해 로그온
계정 다시 설정
계정 만들기
다음 표에서는 인증과 관련된 정책 그룹을 나열하고 해당 정책을 구성하는 데 도움이 되는 설명서에 대한 링크를 제공합니다.
정책 그룹 | 위치 | 설명 |
---|---|---|
암호 정책 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\계정 정책 | 암호 정책은 암호의 특성과 동작에 영향을 줍니다. 암호 정책은 할 일기본 계정 또는 로컬 사용자 계정에 사용됩니다. 적용 및 수명과 같은 암호에 대한 설정을 결정합니다. 특정 설정에 대한 자세한 내용은 암호 정책을 참조하세요. |
계정 잠금 정책 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\계정 정책 | 계정 잠금 정책 옵션은 로그온 시도 실패 횟수가 설정된 후 계정을 사용하지 않도록 설정합니다. 이러한 옵션을 사용하면 암호를 끊으려는 시도를 감지하고 차단하는 데 도움이 될 수 있습니다. 계정 잠금 정책 옵션에 대한 자세한 내용은 계정 잠금 정책을 참조하세요. |
Kerberos 정책 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\계정 정책 | Kerberos 관련 설정에는 티켓 수명 및 적용 규칙이 포함됩니다. Kerberos 인증 프로토콜은 로컬 계정을 인증하는 데 사용되지 않으므로 Kerberos 정책은 로컬 계정 데이터베이스에 적용되지 않습니다. 따라서 Kerberos 정책 설정은 기본 do기본 로그온에 영향을 미치는 GPO(그룹 정책 개체)를 통해서만 구성할 수 있습니다기본. do기본 컨트롤러에 대한 Kerberos 정책 옵션에 대한 자세한 내용은 Kerberos 정책을 참조하세요. |
감사 정책 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\감사 정책 | 감사 정책을 사용하면 파일 및 폴더와 같은 개체에 대한 액세스를 제어하고 이해하고 사용자 및 그룹 계정과 사용자 로그온 및 로그오프를 관리할 수 있습니다. 감사 정책은 감사하려는 이벤트의 범주를 지정하고, 보안 로그의 크기와 동작을 설정하고, 액세스를 모니터링할 개체와 모니터링할 액세스 유형을 결정할 수 있습니다. |
사용자 권한 할당 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당 | 사용자 권한은 일반적으로 사용자가 속한 보안 그룹(예: 관리istrators, Power Users 또는 Users)을 기반으로 할당됩니다. 이 범주의 정책 설정은 일반적으로 액세스 방법 및 보안 그룹 멤버 자격에 따라 컴퓨터에 대한 액세스 권한을 부여하거나 거부하는 데 사용됩니다. |
보안 옵션 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션 | 인증과 관련된 정책은 다음과 같습니다. -장치 |
자격 증명 위임 | Computer Configuration\관리istrative Templates\System\Credentials Delegation | 자격 증명 위임은 다른 시스템, 특히 멤버 서버에서 로컬 자격 증명을 사용하고 할 일 내의 컨트롤러를 기본 수 있는 메커니즘입니다기본. 이러한 설정은 Cred SSP(자격 증명 보안 지원 공급자)를 사용하여 애플리케이션에 적용됩니다. 원격 데스크톱 커넥트이 예제입니다. |
Kdc | Computer Configuration\관리istrative Templates\System\KDC | 이러한 정책 설정은 do기본 컨트롤러의 서비스인 KDC(키 배포 센터)가 Kerberos 인증 요청을 처리하는 방법에 영향을 줍니다. |
Kerberos | Computer Configuration\관리istrative Templates\System\Kerberos | 이러한 정책 설정은 클레임, Kerberos 아머링, 복합 인증, 프록시 서버 식별 및 기타 구성에 대한 지원을 처리하도록 Kerberos를 구성하는 방법에 영향을 줍니다. |
로그온 | Computer Configuration\관리istrative Templates\System\Logon | 이러한 정책 설정은 시스템에서 사용자에게 로그온 환경을 제공하는 방법을 제어합니다. |
Net Logon | Computer Configuration\관리istrative Templates\System\Net Logon | 이러한 정책 설정은 Do기본 컨트롤러 로케이터가 동작하는 방식을 포함하여 시스템에서 네트워크 로그온 요청을 처리하는 방법을 제어합니다. Do기본 컨트롤러 로케이터가 복제본(replica)tion 프로세스에 적합한 방법에 대한 자세한 내용은 사이트 간 복제 이해를 참조하세요. |
생체 인식 | Computer Configuration\관리istrative Templates\Windows Components\Biometrics | 이러한 정책 설정은 일반적으로 인증 방법으로 생체 인식 사용을 허용하거나 거부합니다. 바이오 메트릭의 Windows 구현에 대한 자세한 내용은 Windows 생체 인식 프레임워크 개요를 참조하세요. |
자격 증명 사용자 인터페이스 | Computer Configuration\관리istrative Templates\Windows Components\Credential User Interface | 이러한 정책 설정은 진입 지점에서 자격 증명을 관리하는 방법을 제어합니다. |
암호 동기화 | Computer Configuration\관리istrative Templates\Windows Components\Password Synchronization | 이러한 정책 설정은 시스템에서 Windows와 UNIX 기반 운영 체제 간의 암호 동기화를 관리하는 방법을 결정합니다. 자세한 내용은 암호 동기화를 참조 하세요. |
스마트 카드 | Computer Configuration\관리istrative Templates\Windows Components\Smart Card | 이러한 정책 설정은 시스템이 스마트 카드 로그온을 관리하는 방법을 제어합니다. |
Windows 로그온 옵션 | Computer Configuration\관리istrative Templates\Windows Components\Windows Logon Options | 이러한 정책 설정은 로그온 기회를 사용할 수 있는 시기와 방법을 제어합니다. |
Ctrl+Alt+Del 옵션 | Computer Configuration\관리istrative Templates\Windows Components\Ctrl+Alt+Del Options | 이러한 정책 설정은 로그온 UI(보안 데스크톱)의 기능(예: 작업 관리자 및 컴퓨터의 키보드 잠금)의 모양과 접근성에 영향을 미칩니다. |
로그온 | Computer Configuration\관리istrative Templates\Windows Components\Logon | 이러한 정책 설정은 사용자가 로그온할 때 실행할 수 있는 프로세스 또는 프로세스를 결정합니다. |
추가 참조
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기