Active Directory 계정
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
Windows Server 운영 체제는 기본 로컬 계정으로 설치됩니다. 또한 조직의 요구 사항을 충족하기 위해 사용자 계정을 만들 수 있습니다.
이 참조 문서에서는 do기본 컨트롤러에 로컬로 저장되고 Active Directory에 사용되는 Windows Server 기본 로컬 계정에 대해 설명합니다. 멤버, 독립 실행형 서버 또는 Windows 클라이언트에 대한 기본 로컬 사용자 계정은 설명하지 않습니다. 자세한 내용은 로컬 계정을 참조 하세요.
Active Directory의 기본 로컬 계정
기본 로컬 계정은 Windows Server를 수행할 때 자동으로 생성되는 기본 제공 계정입니다기본 컨트롤러가 설치되고 do기본 생성됩니다. 이러한 기본 로컬 계정에는 Active Directory에 해당 계정이 있습니다. 또한 기본 전체 액세스 권한이 있으며 멤버 또는 독립 실행형 서버에 대한 기본 로컬 사용자 계정과 완전히 별개입니다.
특정 할 일기본 컨트롤러에서 기본 로컬 계정에 대한 권한과 권한을 할당할 수 있으며, 이 경우만 기본 컨트롤러에 할당할 수 있습니다. 이러한 계정은 할 일기본 로컬입니다. 기본 로컬 계정이 설치되면 Active Directory 사용자 및 컴퓨터 사용자 컨테이너에 저장됩니다. 사용자 컨테이너에 기본 로컬 계정을 유지하고 이러한 계정을 다른 OU(조직 구성 단위)로 이동하지 않는 것이 좋습니다.
사용자 컨테이너의 기본 로컬 계정에는 관리istrator, Guest 및 KRBTGT가 포함됩니다. HelpAssistant 계정은 원격 지원 세션이 설정될 때 설치됩니다. 다음 섹션에서는 Active Directory의 기본 로컬 계정 및 해당 사용에 대해 설명합니다.
기본 로컬 계정은 다음 작업을 수행합니다.
할 일기본 고유한 자격 증명(사용자 이름 및 암호)을 사용하여 계정에 할당된 사용자의 ID를 나타내고, 식별하고, 인증하도록 합니다. 최대 보안을 보장하기 위해 각 사용자를 단일 계정에 할당하는 것이 가장 좋습니다. 여러 사용자가 하나의 계정을 공유할 수 없습니다. 사용자 계정을 사용하면 사용자가 컴퓨터, 네트워크 또는 할 일에서 인증할 수 있는 고유 식별자를 사용하여 컴퓨터, 네트워크 및 할 기본 로그인할 수 있습니다기본.
리소스에 대한 액세스 권한을 부여(부여 또는 거부)합니다. 사용자의 자격 증명이 인증되면 사용자는 리소스에 대해 명시적으로 할당된 권한에 따라 네트워크에 액세스하고 리소스를 기본 권한이 부여됩니다.
사용자 계정에서 수행되는 작업을 감사합니다.
Active Directory에서 관리자는 기본 로컬 계정을 사용하여 전용 관리 워크스테이션에서 직접 할 일기본 및 멤버 서버를 관리합니다. Active Directory 계정은 네트워크 리소스에 대한 액세스를 제공합니다. Active Directory 사용자 계정 및 컴퓨터 계정은 컴퓨터 또는 사용자와 같은 물리적 엔터티를 나타내거나 일부 애플리케이션에 대한 전용 서비스 계정으로 작동할 수 있습니다.
각 기본 로컬 계정은 특정 작업을 수행할 수 있는 적절한 권한과 권한으로 미리 구성된 보안 그룹에 자동으로 할당됩니다. Active Directory 보안 그룹은 사용자 계정, 컴퓨터 계정 및 기타 그룹을 관리 가능한 단위로 수집합니다. 자세한 내용은 Active Directory 보안 그룹을 참조 하세요.
Active Directory do기본 컨트롤러에서 각 기본 로컬 계정을 보안 주체라고 합니다. 보안 주체는 할 일기본 컨트롤러 리소스에 대한 액세스를 제공하는 Active Directory 서비스를 보호하고 관리하는 데 사용되는 디렉터리 개체입니다. 보안 주체에는 사용자 계정, 컴퓨터 계정, 보안 그룹 또는 사용자 또는 컴퓨터 계정의 보안 컨텍스트에서 실행되는 스레드 또는 프로세스와 같은 개체가 포함됩니다. 자세한 내용은 보안 주체를 참조 하세요.
보안 주체는 고유한 SID(보안 식별자)로 표시됩니다. Active Directory의 각 기본 로컬 계정과 관련된 SID는 다음 섹션에서 설명합니다.
일부 기본 로컬 계정은 주기적으로 검사 특정 보안 설명자를 적용하는 백그라운드 프로세스로 보호됩니다. 보안 설명자는 보호된 개체와 연결된 보안 정보를 포함하는 데이터 구조입니다. 이 프로세스는 기본 로컬 계정 또는 그룹 중 하나에서 보안 설명자를 수정하려는 무단 시도가 보호된 설정으로 덮어쓰여지도록 합니다.
이 보안 설명자는 관리SDHolder 개체에 있습니다. 서비스 관리자 그룹 또는 해당 멤버 계정 중 하나에 대한 사용 권한을 수정하려면 관리SDHolder 개체의 보안 설명자를 수정하여 일관되게 적용되도록 해야 합니다. 보호된 모든 계정에 적용되는 기본 설정도 변경하므로 이러한 수정을 수행할 때는 주의해야 합니다.
관리자 계정
관리istrator 계정은 모든 컴퓨터 및 디바이스의 모든 Windows 운영 체제 버전에서 사용되는 기본 계정입니다. 관리istrator 계정은 시스템 관리자가 관리 자격 증명이 필요한 작업에 사용됩니다. 이 계정은 삭제하거나 잠글 수 없지만 계정 이름을 바꾸거나 사용하지 않도록 설정할 수 있습니다.
관리istrator 계정은 사용자에게 해당 로컬 서버에 있는 파일, 디렉터리, 서비스 및 기타 리소스에 대한 완전한 액세스 권한(모든 권한)을 제공합니다. 관리istrator 계정을 사용하여 로컬 사용자를 만들고 사용자 권한 및 액세스 제어 권한을 할당할 수 있습니다. 이 계정은 사용자 권한 및 권한을 변경하기만 하면 언제든지 로컬 리소스를 제어하는 데 사용할 수 있습니다. 파일 및 디렉터리를 일시적으로 관리istrator 계정에서 보호할 수 있지만, 계정은 액세스 권한을 변경하여 언제든지 이러한 리소스를 제어할 수 있습니다.
계정 그룹 멤버 자격
이 문서의 뒷부분에 있는 관리istrator 계정 특성 테이블에 설명된 대로 관리istrator 계정에는 기본 보안 그룹의 멤버 자격이 있습니다.
보안 그룹은 각 관리istrator 계정을 변경하지 않고도 관리자 권한을 제어할 수 있도록 합니다. 대부분의 경우 이 계정에 대한 기본 설정을 변경할 필요가 없습니다. 그러나 특정 그룹의 멤버 자격과 같은 고급 설정을 변경해야 할 수 있습니다.
보안 고려 사항
서버 운영 체제를 설치한 후 첫 번째 작업은 관리istrator 계정 속성을 안전하게 설정하는 것입니다. 여기에는 특히 길고 강력한 암호를 설정하고 원격 제어 및 원격 데스크톱 서비스 프로필 설정을 보호하는 것이 포함됩니다.
필요하지 않은 경우 관리istrator 계정을 사용하지 않도록 설정할 수도 있습니다. 관리istrator 계정의 이름을 바꾸거나 사용하지 않도록 설정하면 악의적인 사용자가 계정에 대한 액세스 권한을 얻기가 더 어려워집니다. 그러나 관리istrator 계정을 사용하지 않도록 설정한 경우에도 안전 모드를 사용하여 할 일기본 컨트롤러에 대한 액세스 권한을 얻는 데 계속 사용할 수 있습니다.
do기본 컨트롤러에서 관리istrator 계정은 Do기본 관리 계정이 됩니다. Do기본 관리 계정은 do기본 컨트롤러에 로그인하는 데 사용되며 이 계정에는 강력한 암호가 필요합니다. Do기본 관리 계정을 사용하면 할 일기본 리소스에 액세스할 수 있습니다.
참고 항목
do기본 컨트롤러가 처음 설치되면 로그인하고 서버 관리자 사용하여 할당하려는 권한과 권한으로 로컬 관리istrator 계정을 설정할 수 있습니다. 예를 들어 로컬 관리istrator 계정을 사용하여 운영 체제를 처음 설치할 때 관리할 수 있습니다. 이 방법을 사용하면 잠기지 않고 운영 체제를 설정할 수 있습니다. 일반적으로 설치 후에는 계정을 사용할 필요가 없습니다. do기본 컨트롤러에서 Active Directory 도메인 서비스가 설치되기 전에만 로컬 사용자 계정을 만들 수 있으며 그 후에는 만들 수 없습니다.
do기본 첫 번째 do기본 컨트롤러에 Active Directory가 설치되면 Active Directory에 대한 관리istrator 계정이 만들어집니다. 관리이스트레이터 계정은 할 일에서 가장 강력한 계정입니다기본. 컴퓨터와 할 일기본 관리하는 데 기본 전체 액세스 권한과 관리 권한이 부여되며, 할 일기본 대한 가장 광범위한 권한과 권한이 있습니다. 컴퓨터에 Active Directory 도메인 서비스를 설치하는 사람은 설치하는 동안 이 계정에 대한 암호를 만듭니다.
관리istrator 계정 특성
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-500<domain> |
| Type | 사용자 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 해당 없음 |
| 기본 소속 | 관리istrators, Do기본 관리s, Enterprise 관리istrators, Do기본 Users(모든 사용자 계정의 기본 그룹 ID는 Do기본 Users) 그룹 정책 작성자 소유자 및 Active Directory 도메인 사용자 그룹의 스키마 관리 |
| ADMINSDHOLDER에 의해 보호됨? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 비서비스 관리자에게 위임할 금고 있나요? | 아니요 |
게스트 계정
게스트 계정은 컴퓨터에 대한 액세스가 제한되고 기본적으로 사용하지 않도록 설정되는 기본 로컬 계정입니다. 기본적으로 게스트 계정 암호는 비워 집니다. 빈 암호를 사용하면 사용자가 암호를 입력할 필요 없이 게스트 계정에 액세스할 수 있습니다.
게스트 계정을 사용하면 컴퓨터에 개별 계정이 없는 간헐적 또는 일회성 사용자가 제한된 권한과 권한으로 로컬 서버에 로그인하거나 기본 수 있습니다. 게스트 계정을 사용하도록 설정할 수 있으며 필요한 경우 암호를 설정할 수 있지만 do기본 관리istrator 그룹의 멤버만 설정할 수 있습니다.
게스트 계정 그룹 멤버 자격
게스트 계정에는 다음 게스트 계정 특성 테이블에 설명된 기본 보안 그룹의 멤버 자격이 있습니다. 기본적으로 게스트 계정은 사용자가 서버에 로그인할 수 있는 기본 게스트 그룹의 유일한 구성원이며, 사용자가 할 일기본 로그인할 수 있는 Do기본 게스트 전역 그룹입니다.
관리이스트래터 그룹 또는 Do기본 관리 그룹의 구성원은 하나 이상의 컴퓨터에서 게스트 계정으로 사용자를 설정할 수 있습니다.
게스트 계정 보안 고려 사항
게스트 계정은 익명 액세스를 제공할 수 있으므로 보안 위험이 있습니다. 잘 알려진 SID도 있습니다. 이러한 이유로 게스트 계정을 사용해야 하는 경우가 아니면 게스트 계정을 사용하지 않도록 설정한 다음 매우 제한된 기간 동안 제한된 권한과 사용 권한으로만 사용하는 것이 좋습니다.
게스트 계정이 필요한 경우 게스트 계정을 사용하도록 설정하려면 관리기본 컨트롤러의 주관자가 필요합니다. 게스트 계정은 암호를 요구하지 않고 사용하도록 설정하거나 강력한 암호로 사용하도록 설정할 수 있습니다. 또한 관리 담당자는 게스트 계정에 대해 제한된 권한과 권한을 부여합니다. 무단 액세스를 방지하려면 다음을 수행합니다.
시스템 사용자 종료 권한을 게스트 계정에 부여하지 마세요. 컴퓨터가 종료되거나 시작되면 게스트 사용자 또는 악의적인 사용자와 같은 로컬 액세스 권한이 있는 모든 사용자가 컴퓨터에 무단으로 액세스할 수 있습니다.
이벤트 로그를 볼 수 있는 기능을 게스트 계정에 제공하지 마세요. 게스트 계정을 사용하도록 설정한 후에는 이 계정을 자주 모니터링하여 다른 사용자가 실수로 이전 사용자가 사용할 수 있는 리소스와 같은 서비스 및 기타 리소스를 사용할 수 없도록 하는 것이 가장 좋습니다.
서버에 외부 네트워크 액세스 또는 다른 컴퓨터에 대한 액세스 권한이 있는 경우 게스트 계정을 사용하지 마세요.
게스트 계정을 사용하도록 설정하려는 경우 사용을 제한하고 정기적으로 암호를 변경해야 합니다. 관리istrator 계정과 마찬가지로 추가 보안 예방 조치로 계정 이름을 바꿀 수 있습니다.
또한 관리자는 게스트 계정을 관리할 책임이 있습니다. 관리자는 게스트 계정을 모니터링하고, 게스트 계정을 더 이상 사용하지 않을 때 사용하지 않도록 설정하고, 필요에 따라 암호를 변경하거나 제거합니다.
게스트 계정 특성에 대한 자세한 내용은 다음 표를 참조하세요.
게스트 계정 특성
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-501<domain> |
| Type | 사용자 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 게스트, 할 일기본 게스트 |
| ADMINSDHOLDER에 의해 보호됨? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 밖으로 이동할 수 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 비서비스 관리자에게 위임할 금고 있나요? | 아니요 |
HelpAssistant 계정(원격 지원 세션과 함께 설치됨)
HelpAssistant 계정은 원격 지원 세션이 실행될 때 사용하도록 설정된 기본 로컬 계정입니다. 이 계정은 보류 중인 원격 지원 요청이 없을 때 자동으로 비활성화됩니다.
HelpAssistant는 원격 지원 세션을 설정하는 데 사용되는 기본 계정입니다. 원격 지원 세션은 Windows 운영 체제를 실행하는 다른 컴퓨터에 연결하는 데 사용되며 초대를 통해 시작됩니다. 요청된 원격 지원을 위해 사용자는 컴퓨터에서 이메일 또는 파일로 지원을 제공할 수 있는 사람에게 초대를 보냅니다. 원격 지원 세션에 대한 사용자의 초대가 수락되면 지원을 제공하는 사용자에게 컴퓨터에 대한 제한된 액세스를 제공하기 위해 기본 HelpAssistant 계정이 자동으로 만들어집니다. HelpAssistant 계정은 원격 데스크톱 도움말 세션 관리자 서비스에 의해 관리됩니다.
HelpAssistant 보안 고려 사항
기본 HelpAssistant 계정과 관련된 SID는 다음과 같습니다.
SID: S-1-5-13
<domain>, 표시 이름 터미널 서버 사용자입니다. 이 그룹에는 원격 데스크톱 서비스를 사용하도록 설정된 서버에 로그인하는 모든 사용자가 포함됩니다. Windows Server 2008에서 원격 데스크톱 서비스를 터미널 서비스라고 합니다.SID: S-1-5-14
<domain>, 표시 이름 원격 대화형 로그온. 이 그룹에는 원격 데스크톱 연결을 사용하여 컴퓨터에 연결하는 모든 사용자가 포함됩니다. 이 그룹은 대화형 그룹의 하위 집합입니다. 원격 대화형 로그온 SID를 포함하는 액세스 토큰에는 대화형 SID도 포함됩니다.
Windows Server 운영 체제의 경우 원격 지원은 기본적으로 설치되지 않은 선택적 구성 요소입니다. 원격 지원을 사용하려면 먼저 설치해야 합니다.
HelpAssistant 계정 특성에 대한 자세한 내용은 다음 표를 참조하세요.
HelpAssistant 계정 특성
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-13<domain>(터미널 서버 사용자), S-1-5-14<domain>(원격 대화형 로그온) |
| Type | 사용자 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 도메인 게스트 게스트 |
| ADMINSDHOLDER에 의해 보호됨? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 밖으로 이동할 수 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 비서비스 관리자에게 위임할 금고 있나요? | 아니요 |
KRBTGT 계정
KRBTGT 계정은 KDC(키 배포 센터) 서비스의 서비스 계정 역할을 하는 로컬 기본 계정입니다. 이 계정은 삭제할 수 없으며 계정 이름을 변경할 수 없습니다. Active Directory에서는 KRBTGT 계정을 사용할 수 없습니다.
KRBTGT는 RFC 4120에서 지정한 대로 Windows Server do기본 KDC에서 사용하는 보안 주체 이름이기도 합니다. KRBTGT 계정은 KRBTGT 보안 주체의 엔터티이며 새 do기본 만들 때 자동으로 생성됩니다.
Windows Server Kerberos 인증은 대칭 키로 암호화된 특수 Kerberos TGT(티켓 부여 티켓)를 사용하여 수행됩니다. 이 키는 액세스가 요청되는 서버 또는 서비스의 암호에서 파생됩니다. KRBTGT 계정의 TGT 암호는 Kerberos 서비스에서만 알려져 있습니다. 세션 티켓을 요청하려면 TGT를 KDC에 제공해야 합니다. TGT는 KDC에서 Kerberos 클라이언트에 발급됩니다.
KRBTGT 계정 기본 테넌스 고려 사항
강력한 암호가 KRBTGT에 할당되고 계정이 자동으로 신뢰됩니다. 모든 권한 있는 서비스 계정과 마찬가지로 조직은 정기적으로 이러한 암호를 변경해야 합니다. KDC 계정의 암호는 발급된 TGT 요청을 암호화하고 암호 해독하기 위한 비밀 키를 파생시키는 데 사용됩니다. do기본 트러스트 계정의 암호는 추천 티켓을 암호화하기 위한 영역 간 키를 파생시키는 데 사용됩니다.
암호를 재설정하려면 Do기본 관리s 그룹의 구성원이거나 적절한 권한을 위임해야 합니다. 또한 로컬 관리인 그룹의 구성원이거나 적절한 권한을 위임해야 합니다.
KRBTGT 암호를 다시 설정하면 (Kerberos) 키 배포 센터 이벤트 원본의 이벤트 ID 9가 시스템 이벤트 로그에 기록되는지 확인합니다.
KRBTGT 계정 보안 고려 사항
또한 새로 복원된 do기본 컨트롤러가 손상된 do기본 컨트롤러와 복제본(replica) 않도록 KRBTGT 계정 암호를 재설정하는 것이 가장 좋습니다. 이 경우 여러 위치에 분산된 대규모 포리스트 복구에서는 모든 작업을 수행할 수 기본 컨트롤러가 종료되고, 컨트롤러가 종료된 경우 적절한 복구 단계가 모두 수행되기 전에 다시 부팅할 수 없다고 보장할 수 없습니다. KRBTGT 계정을 다시 설정한 후 다른 do기본 컨트롤러는 이전 암호를 사용하여 이 계정 암호를 복제본(replica) 할 수 없습니다.
KRBTGT 계정의 기본 손상이 의심되는 조직은 전문적인 인시던트 대응 서비스의 사용을 고려해야 합니다. 계정 소유권을 복원하는 영향은 기본 전체의 노동 집약적이며 더 큰 복구 노력의 일환으로 수행해야 합니다.
KRBTGT 암호는 Kerberos의 모든 신뢰가 연결된 키입니다. KRBTGT 암호를 다시 설정하는 것은 루트 CA 인증서를 새 키로 갱신하고 이전 키를 즉시 신뢰하지 않는 것과 유사하므로 거의 모든 후속 Kerberos 작업이 영향을 받습니다.
모든 계정 유형(사용자, 컴퓨터 및 서비스)의 경우
이미 발급되고 배포된 모든 TGT는 DC가 이를 거부하므로 유효하지 않습니다. 이러한 티켓은 KRBTGT로 암호화되므로 DC에서 유효성을 검사할 수 있습니다. 암호가 변경되면 티켓이 유효하지 않습니다.
로그인한 사용자가 리소스(예: 파일 공유, SharePoint 사이트 또는 Exchange 서버)에 대해 설정한 현재 인증된 모든 세션은 서비스 티켓을 다시 인증해야 할 때까지 적합합니다.
NTLM 인증된 연결은 영향을 받지 않습니다.
프로덕션 운영 환경에서 지정된 사용자에 대해 발생할 특정 오류를 예측할 수 없으므로 모든 컴퓨터와 사용자가 영향을 받는다고 가정해야 합니다.
Important
컴퓨터를 다시 부팅하는 것이 기능을 복구하는 유일한 신뢰할 수 있는 방법입니다. 이렇게 하면 컴퓨터 계정과 사용자 계정이 모두 다시 로그인하기 때문입니다. 다시 로그인하면 새 KRBTGT에 유효한 새 TGT가 요청되며, 이 TGT는 해당 컴퓨터에서 KRBTGT 관련 운영 문제를 해결합니다.
읽기 전용인 do기본 컨트롤러 및 KRBTGT 계정
Windows Server 2008에는 RODC(읽기 전용 do기본 컨트롤러)가 도입되었습니다. RODC는 지점의 KDC(키 배포 센터)로 보급됩니다. RODC는 TGT(티켓 부여 티켓) 요청에 서명하거나 암호화할 때 쓰기 가능한 do기본 컨트롤러에서 KDC와 다른 KRBTGT 계정 및 암호를 사용합니다. 계정이 성공적으로 인증되면 RODC는 암호 복제 정책을 사용하여 사용자의 자격 증명 또는 컴퓨터의 자격 증명을 쓰기 가능한 do기본 컨트롤러에서 RODC로 복제본(replica) 수 있는지 여부를 결정합니다.
RODC에 자격 증명이 캐시되면 RODC는 자격 증명이 변경될 때까지 해당 사용자의 로그인 요청을 수락할 수 있습니다. TGT가 RODC의 KRBTGT 계정으로 서명되면 RODC는 자격 증명의 캐시된 복사본이 있음을 인식합니다. 다른 기본 컨트롤러가 TGT에 서명하는 경우 RODC는 쓰기 가능한 do기본 컨트롤러에 요청을 전달합니다.
KRBTGT 계정 특성
KRBTGT 계정 특성에 대한 자세한 내용은 다음 표를 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-502<domain> |
| Type | 사용자 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | Do기본 사용자 그룹(모든 사용자 계정의 기본 그룹 ID는 Do기본 사용자) |
| ADMINSDHOLDER에 의해 보호됨? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 밖으로 이동할 수 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 비서비스 관리자에게 위임할 금고 있나요? | 아니요 |
Active Directory의 기본 로컬 계정에 대한 설정
Active Directory의 각 기본 로컬 계정에는 다음 표에 설명된 대로 암호 설정 및 보안 관련 정보를 구성하는 데 사용할 수 있는 몇 가지 계정 설정이 있습니다.
| 계정 설정 | 설명 |
|---|---|
| 다음 로그온할 때 반드시 암호 변경 | 다음에 사용자가 네트워크에 로그인할 때 암호를 강제로 변경합니다. 사용자가 자신의 암호를 아는 유일한 사용자인지 확인하려는 경우 이 옵션을 사용합니다. |
| 사용자가 암호를 변경할 수 없습니다. | 사용자가 암호를 변경하지 못하도록 합니다. 게스트 또는 임시 계정과 같은 사용자 계정에 대한 제어를 기본 때 이 옵션을 사용합니다. |
| Password never expires | 사용자 암호가 만료되지 않도록 합니다. 서비스 계정으로 이 옵션을 사용하도록 설정하고 강력한 암호를 사용하는 것이 가장 좋습니다. |
| 해독 가능한 암호화를 사용하여 암호 저장 | 인증을 위해 사용자 암호의 일반 텍스트 형식에 대한 지식이 필요한 프로토콜을 사용하는 애플리케이션에 대한 지원을 제공합니다. 이 옵션은 IAS(인터넷 인증 서비스)에서 CHAP(Challenge Handshake Authentication Protocol)를 사용하고 IIS(인터넷 정보 서비스)에서 다이제스트 인증을 사용하는 경우에 필요합니다. |
| 계정 사용 안 함 | 사용자가 선택한 계정으로 로그인하지 못하도록 합니다. 관리자는 비활성화된 계정을 일반 사용자 계정의 템플릿으로 사용할 수 있습니다. |
| 대화형 로그온에 스마트 카드 필요 | 사용자에게 네트워크에 대화형으로 로그온하는 스마트 카드 있어야 합니다. 또 해당 사용자 컴퓨터에 스마트 카드 판독기도 부착되어 있어야 하며 해당 스마트 카드에 대한 유효한 PIN(개인 식별 번호)도 있어야 합니다. 이 특성이 계정에 적용되면 다음과 같은 효과가 적용됩니다. |
| 위임에 대해 계정 신뢰할 수 있음 | 이 계정으로 실행되는 서비스가 네트워크의 다른 사용자 계정을 대신하여 작업을 수행할 수 있도록 합니다. 위임에 대해 신뢰할 수 있는 사용자 계정(서비스 계정이라고도 함)으로 실행되는 서비스는 서비스가 실행 중인 컴퓨터 또는 다른 컴퓨터에서 리소스에 대한 액세스 권한을 얻기 위해 클라이언트를 가장할 수 있습니다. 예를 들어 Windows Server 2003 기능 수준으로 설정된 포리스트에서 이 설정은 위임 탭에 있습니다. Windows 지원 도구의 명령을 사용하여 setspn 설정된 SPN(서비스 사용자 이름)이 할당된 계정에만 사용할 수 있습니다. 이 설정은 보안에 민감하며 신중하게 할당해야 합니다. |
| 계정은 중요하며 위임할 수 없습니다. | 게스트 계정 또는 임시 계정과 같은 사용자 계정을 제어할 수 있습니다. 이 옵션은 이 계정을 다른 계정의 위임에 할당할 수 없는 경우에 사용할 수 있습니다. |
| 이 계정에 DES 암호화 유형 사용 | DES(데이터 암호화 표준)에 대한 지원을 제공합니다. DES는 MPPE(Microsoft Point-to-Point Encryption) 표준(40비트 및 56비트), MPPE 표준(56비트), MPPE Strong(128비트), IPSec(인터넷 프로토콜 보안) DES(40비트), IPSec 56비트 DES 및 IPSec Triple DES(3DES)를 비롯한 여러 수준의 암호화를 지원합니다. |
| Kerberos로 미리 인증될 필요 없음 | Kerberos 프로토콜의 대체 구현에 대한 지원을 제공합니다. 사전 인증은 추가 보안을 제공하므로 이 옵션을 사용하도록 설정할 때는 주의해야 합니다. Windows 2000 또는 Windows Server 2003을 실행하는 컨트롤러는 기본 다른 메커니즘을 사용하여 시간을 동기화할 수 있습니다. |
참고 항목
DES는 Windows Server 운영 체제(Windows Server 2008 R2부터 시작) 또는 Windows 클라이언트 운영 체제(Windows 7부터)에서 기본적으로 사용하도록 설정되지 않습니다. 이러한 운영 체제의 경우 컴퓨터는 기본적으로 DES-CBC-MD5 또는 DES-CBC-CRC 암호 그룹을 사용하지 않습니다. 환경에 DES가 필요한 경우 이 설정은 사용자 환경의 클라이언트 컴퓨터 또는 서비스 및 애플리케이션과의 호환성에 영향을 줄 수 있습니다.
자세한 내용은 DES를 헌팅하여 Kerberos를 안전하게 배포하는 방법을 참조 하세요.
Active Directory에서 기본 로컬 계정 관리
기본 로컬 계정이 설치되면 이러한 계정은 Active Directory 사용자 및 컴퓨터 사용자 컨테이너에 상주합니다. Active Directory 사용자 및 컴퓨터 MMC(Microsoft Management Console)를 사용하고 명령줄 도구를 사용하여 기본 로컬 계정을 만들고, 사용하지 않도록 설정하고, 재설정하고, 삭제할 수 있습니다.
Active Directory 사용자 및 컴퓨터 사용하여 지정된 로컬 do기본 컨트롤러에 대한 권한 및 권한을 할당할 수 있으며기본 컨트롤러만 할당하여 로컬 사용자 및 그룹의 특정 작업을 수행할 수 있는 기능을 제한할 수 있습니다. 권한은 컴퓨터에서 파일 및 폴더 백업이나 컴퓨터 종료와 같은 특정 작업을 수행할 수 있는 권한을 사용자에게 부여합니다. 반면에 액세스 권한은 개체와 연결된 규칙으로, 일반적으로 개체에 액세스할 수 있는 사용자와 어떤 방식으로 액세스할 수 있는지를 제어하는 파일, 폴더 또는 프린터입니다.
Active Directory에서 로컬 사용자 계정을 만들고 관리하는 방법에 대한 자세한 내용은 로컬 사용자 관리를 참조 하세요.
또한 할 일기본 컨트롤러에서 Active Directory 사용자 및 컴퓨터 사용하여 네트워크에서 수행되지 않는 원격 컴퓨터기본 컨트롤러를 대상으로 지정할 수도 있습니다.
SCM(보안 준수 관리자) 도구를 사용하여 배포할 수 있는 기본 컨트롤러 구성에 대한 권장 사항을 Microsoft에서 얻을 수 있습니다. 자세한 내용은 Microsoft 보안 준수 관리자를 참조 하세요.
일부 기본 로컬 사용자 계정은 보호된 개체와 연결된 보안 정보를 포함하는 데이터 구조인 특정 보안 설명자를 주기적으로 검사 적용하는 백그라운드 프로세스로 보호됩니다. 이 보안 설명자는 관리SDHolder 개체에 있습니다.
즉, 서비스 관리자 그룹 또는 해당 멤버 계정에 대한 사용 권한을 수정하려는 경우 관리SDHolder 개체에 대한 보안 설명자도 수정해야 합니다. 이 방법을 사용하면 사용 권한이 일관되게 적용됩니다. 이 작업은 보호된 모든 관리 계정에 적용되는 기본 설정에도 영향을 줄 수 있으므로 이러한 수정을 수행할 때는 주의해야 합니다.
중요한 do기본 계정 제한 및 보호
do기본 환경에서 do기본 계정을 제한하고 보호하려면 다음 모범 사례 접근 방식을 채택하고 구현해야 합니다.
관리istrators, Do기본 관리 및 Enterprise 관리 그룹에 대한 멤버 자격을 엄격하게 제한합니다.
계정의 사용 위치와 방법을 엄격하게 제어합니다기본.
do기본 또는 포리스트의 관리이스트레이터, Do기본 관리 및 Enterprise 관리 그룹의 멤버 계정은 악의적인 사용자의 높은 가치 대상입니다. 노출을 제한하려면 이러한 관리자 그룹의 멤버 자격을 가장 적은 수의 계정으로 엄격하게 제한하는 것이 좋습니다. 이러한 그룹의 멤버 자격을 제한하면 관리자가 의도치 않게 이러한 자격 증명을 오용하고 악의적인 사용자가 악용할 수 있는 취약성이 발생할 가능성이 줄어듭니다.
또한 중요한 기본 계정이 사용되는 위치와 방법을 엄격하게 제어하는 것이 가장 좋습니다. Do기본 관리s 계정 및 기타 관리이스트레이터 계정의 사용을 제한하여 관리 시스템과 동일한 수준에서 보호되는 관리 시스템 및 워크스테이션에 로그인하는 데 사용되지 않도록 합니다. 관리주체 계정이 이러한 방식으로 제한되지 않으면 할 일기본 관리자가 로그인하는 각 워크스테이션은 악의적인 사용자가 악용할 수 있는 다른 위치를 제공합니다.
이러한 모범 사례 구현은 다음 작업으로 구분됩니다.
do기본 환경과의 통합 문제가 예상되는 인스턴스를 제공하기 위해 각 작업은 최소, 더 나은, 이상적인 구현에 대한 요구 사항에 따라 설명됩니다. 프로덕션 환경의 모든 중요한 변경 내용과 마찬가지로 이러한 변경 내용을 구현하고 배포하기 전에 철저하게 테스트해야 합니다. 그런 다음 기술 문제가 발생할 경우 변경 내용 롤백을 허용하는 방식으로 배포를 준비합니다.
사용자 계정에서 관리istrator 계정 분리
Do기본 관리s 계정 및 기타 중요한 계정을 제한하여 트러스트 서버 및 워크스테이션을 낮추기 위해 로그인하는 데 사용되지 않도록 합니다. 표준 사용자 계정에서 관리istrator 계정을 분리하고, 관리 업무를 다른 작업과 분리하고, 이러한 계정의 사용을 제한하여 관리istrator 계정을 제한하고 보호합니다. 특정 관리 작업을 수행하기 위해 관리자 자격 증명이 필요한 관리 담당자를 위한 전용 계정을 만든 다음, 다음 지침에 따라 다른 표준 사용자 작업에 대해 별도의 계정을 만듭니다.
권한 있는 계정: 관리사용자 계정을 할당하여 다음 관리 업무만 수행합니다.
최소: 할 일기본 관리자, 엔터프라이즈 관리자 또는 do기본 또는 포리스트에서 적절한 관리자 권한이 있는 동등한 계정을 만듭니다. 중요한 관리자 권한이 부여된 계정을 사용하여 할 일기본 데이터 및 할 일기본 컨트롤러를 관리합니다.
더 나은 기능: 워크스테이션 관리자의 계정 및 지정된 Active Directory OU(조직 구성 단위)에 대한 사용자 권한이 있는 계정과 같이 관리 권한이 감소된 관리자를 위한 별도의 계정을 만듭니다.
이상적: 여러 신뢰 수준이 필요한 여러 작업 책임이 있는 관리자를 위해 별도의 여러 계정을 만듭니다. 워크스테이션 관리, 서버 관리 및 do기본 관리와 같이 서로 다른 사용자 권한으로 각 관리istrator 계정을 설정하여 관리자가 작업 책임에 따라 지정된 워크스테이션, 서버 및 할기본 컨트롤러에 로그인할 수 있도록 합니다.
표준 사용자 계정: 메일, 웹 검색 및 LOB(기간 업무) 애플리케이션 사용과 같은 표준 사용자 작업에 대한 표준 사용자 권한을 부여합니다. 이러한 계정에는 관리자 권한이 부여되지 않아야 합니다.
Important
다음 섹션에 설명된 대로 중요한 관리istrator 계정이 전자 메일에 액세스하거나 인터넷을 탐색할 수 없는지 확인합니다.
권한 있는 액세스에 대한 자세한 내용은 Privileged Access 디바이스를 참조 하세요.
서버 및 워크스테이션에 대한 관리자 로그인 액세스 제한
관리자가 중요한 관리istrator 계정을 사용하여 낮은 신뢰 서버 및 워크스테이션에 로그인하도록 제한하는 것이 가장 좋습니다. 이 제한은 관리자가 낮은 신뢰 컴퓨터에 로그인하여 실수로 자격 증명 도난의 위험을 증가시키는 것을 방지합니다.
Important
do기본 컨트롤러에 대한 로컬 액세스 권한이 있거나 하나 이상의 전용 관리 워크스테이션을 빌드했는지 확인합니다.
다음 지침을 사용하여 낮은 신뢰 서버 및 워크스테이션에 대한 로그인 액세스를 제한합니다.
최소: do기본 관리자가 서버 및 워크스테이션에 로그인할 수 없도록 제한합니다. 이 절차를 시작하기 전에 워크스테이션 및 서버를 포함하는 do기본의 모든 OU를 식별합니다. 식별되지 않은 OU의 모든 컴퓨터는 중요한 계정을 가진 관리자가 로그인하는 것을 제한하지 않습니다.
더 나은 기능: 비기본 컨트롤러 서버 및 워크스테이션에서 do기본 관리자를 제한합니다.
이상적: 서버 관리자가 워크스테이션에 로그인하는 것 외에도 기본 관리자를 제한합니다.
참고 항목
이 절차에서는 관리 업무만 수행하는 관리자를 위한 워크스테이션이 포함된 OU에 계정을 연결하지 않고 인터넷 또는 전자 메일 액세스를 제공하지 않습니다.
do기본 관리자를 워크스테이션에서 제한하려면(최소)
마찬가지로기본 관리자가 GPMC(그룹 정책 관리 콘솔)를 엽니다.
그룹 정책 관리를 열고 포리스트>\Do기본s\
<domain>를 확장<합니다.그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 새로 만들기를 선택합니다.
새 GPO 창에서 관리자가 워크스테이션에 로그인하는 것을 제한하는 GPO의 이름을 지정한 다음 확인을 선택합니다.
새 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.
할 일기본 관리자에 대해 로컬로 로그인을 거부하도록 사용자 권한을 구성합니다.
컴퓨터 구성>정책>Windows 설정>로컬 정책을 선택하고, 사용자 권한 할당을 선택한 다음, 다음을 수행합니다.
a. 로컬로 로그온 거부를 두 번 클릭한 다음, 이러한 정책 설정 정의를 선택합니다. b. 사용자 또는 그룹 추가를 선택하고 찾아보기를 선택하고 Enterprise 관리 입력한 다음 확인을 선택합니다. c. 사용자 또는 그룹 추가를 선택하고 찾아보기, Do기본 관리를 입력한 다음 확인을 선택합니다.
팁
필요에 따라 워크스테이션에 로그인하지 못하도록 제한하려는 서버 관리자가 포함된 그룹을 추가할 수 있습니다.
참고 항목
이 단계를 완료하면 Do기본 관리s 그룹의 계정으로 예약된 작업 또는 서비스로 실행되는 관리자 작업에 문제가 발생할 수 있습니다. do기본 관리istrator 계정을 사용하여 워크스테이션에서 서비스 및 작업을 실행하는 방법은 자격 증명 도난 공격의 상당한 위험을 초래하므로 예약된 작업 또는 서비스를 실행하는 대체 수단으로 대체해야 합니다.
d. 확인을 선택하여 구성을 완료합니다.
GPO를 첫 번째 워크스테이션 OU에 연결합니다. <포리스트>\Do기본s\
<domain>\OU 경로로 이동한 다음 다음을 수행합니다.a. 워크스테이션 OU를 마우스 오른쪽 단추로 클릭한 다음 기존 GPO 연결을 선택합니다.
b. 방금 만든 GPO를 선택한 다음 확인을 선택합니다.
첫 번째 OU의 워크스테이션에서 엔터프라이즈 애플리케이션의 기능을 테스트하고 새 정책으로 인한 문제를 해결합니다.
워크스테이션을 포함하는 다른 모든 OU를 연결합니다.
그러나 관리 업무 전용이고 인터넷 또는 전자 메일 액세스가 없는 관리 워크스테이션용으로 만들어진 경우 관리제작 워크스테이션 OU에 대한 링크를 만들지 마세요.
Important
나중에 이 솔루션을 확장하는 경우 Do기본 Users 그룹에 대한 로그인 권한을 거부하지 마세요. Do기본 Users 그룹에는 사용자, Do기본 관리istrators 및 Enterprise 관리istrators를 포함하여 do기본 모든 사용자 계정이 포함됩니다.
중요한 관리istrator 계정에 대한 계정 위임 권한 사용 안 함
사용자 계정은 기본적으로 위임용으로 표시되지 않지만 Active Directory의 계정은 위임에 대해 신뢰할 수 있습니다기본. 즉, 위임을 위해 신뢰할 수 있는 서비스 또는 컴퓨터가 네트워크 전체의 다른 리소스에 액세스하기 위해 인증하는 계정을 가장할 수 있습니다.
Active Directory의 관리istrators, Do기본 관리s 또는 Enterprise 관리s 그룹의 구성원에 속하는 계정과 같은 중요한 계정의 경우 위임은 권한 상승의 상당한 위험을 초래할 수 있습니다. 예를 들어 Do기본 관리s 그룹의 계정이 위임용으로 신뢰할 수 있는 손상된 멤버 서버에 로그인하는 데 사용되는 경우 해당 서버는 Do기본 관리s 계정의 컨텍스트에서 리소스에 대한 액세스를 요청하고 해당 멤버 서버의 손상 내용을 할 일기본 손상으로 에스컬레이션할 수 있습니다.
계정을 선택하여 Active Directory의 모든 중요한 계정에 대해 사용자 개체를 구성하는 것이 가장 좋습니다. 계정이 위임되지 않도록 계정 옵션에서 검사box를 위임할 수 없습니다. 자세한 내용은 Active Directory의 기본 로컬 계정에 대한 설정 참조하세요.
구성 변경과 마찬가지로 이 사용 설정을 완전히 테스트하여 구현하기 전에 올바르게 수행되는지 확인합니다.
할 일기본 컨트롤러 보호 및 관리
사용자 환경에서 할 일기본 컨트롤러에 대한 제한을 엄격하게 적용하는 것이 가장 좋습니다. 이렇게 하면 할 일기본 컨트롤러가 보장됩니다.
- 필요한 소프트웨어만 실행합니다.
- 소프트웨어를 정기적으로 업데이트해야 합니다.
- 적절한 보안 설정을 사용하여 구성됩니다.
do기본 컨트롤러를 보호하고 관리하는 한 가지 측면은 기본 로컬 사용자 계정이 완전히 보호되도록 하는 것입니다. 이전 섹션에서 설명한 대로 중요한 모든 do기본 계정을 제한하고 보호하는 것이 가장 중요합니다.
do기본 컨트롤러는 할 일기본 있는 모든 계정의 자격 증명 암호 해시를 저장하기 때문에 악의적인 사용자의 높은 가치 대상입니다. 할 때기본 컨트롤러는 잘 관리 하 고 엄격 하 게 적용 되는 제한을 사용 하 여 보안, 악의적인 사용자에 의해 손상 될 수 있습니다. 예를 들어 악의적인 사용자는 do기본 컨트롤러에서 중요한 do기본 관리자 자격 증명을 도용한 다음 이러한 자격 증명을 사용하여 do기본 및 포리스트를 공격할 수 있습니다.
또한 do기본 컨트롤러에 설치된 애플리케이션 및 관리 에이전트는 악의적인 사용자가 해당 서비스의 관리 서비스 또는 관리자를 손상시키는 데 사용할 수 있는 권한을 에스컬레이션하는 경로를 제공할 수 있습니다. 조직에서 할 일기본 컨트롤러 및 관리자를 관리하는 데 사용하는 관리 도구 및 서비스는 할 일기본 컨트롤러 및 할 일기본 관리주체 계정의 보안에도 똑같이 중요합니다. 이러한 서비스 및 관리자가 동일한 노력으로 완전히 보호되는지 확인합니다.