서비스 계정
적용 대상: Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016
서비스 계정은 Windows Server 운영 체제에서 실행 중인 서비스에 대한 보안 컨텍스트를 제공하기 위해 명시적으로 만든 사용자 계정입니다. 보안 컨텍스트에 따라 로컬 및 네트워크 리소스에 액세스할 수 있는 서비스의 기능이 결정됩니다. Windows 운영 체제는 다양한 기능을 실행하기 위해 서비스에 의존합니다. 이러한 서비스는 애플리케이션, 서비스 스냅인 또는 작업 관리자를 통해 구성하거나 Windows PowerShell을 사용하여 구성할 수 있습니다.
이 문서에는 다음 유형의 서비스 계정에 대한 정보가 포함되어 있습니다.
독립형 관리형 서비스 계정
관리형 서비스 계정은 IIS(인터넷 정보 서비스)와 같은 중요한 애플리케이션에서 도메인 계정을 격리하도록 설계되었습니다. 이렇게 하면 관리자가 계정의 SPN(서비스 계정 이름)과 자격 증명을 수동으로 관리할 필요가 없습니다.
관리형 서비스 계정을 사용하려면 애플리케이션 또는 서비스가 설치된 서버가 Windows Server 2008 R2 이상을 실행 중이어야 합니다. 하나의 관리 서비스 계정은 하나의 컴퓨터에서 서비스에 사용할 수 있습니다. 관리 서비스 계정은 여러 컴퓨터 간에 공유할 수 없으며, 서비스가 여러 클러스터 노드에 복제되어 있는 서버 클러스터에서는 사용할 수 없습니다. 이 시나리오에서는 그룹 관리 서비스 계정을 사용해야 합니다. 자세한 내용은 그룹 관리 서비스 계정 개요를 참조하세요.
중요한 서비스에 대한 개별 계정을 보유함으로써 제공되는 향상된 보안 외에도 관리 서비스 계정과 관련된 네 가지 중요한 관리상의 이점이 있습니다.
로컬 컴퓨터에서 서비스를 관리하고 유지 관리하는 데 사용할 수 있는 도메인 계정 클래스를 만들 수 있습니다.
관리자가 수동으로 비밀번호를 재설정해야 하는 도메인 계정과 달리, 이러한 계정의 네트워크 비밀번호는 자동으로 재설정됩니다.
관리형 서비스 계정을 사용하기 위해 복잡한 SPN 관리 작업을 완료할 필요가 없습니다.
관리 서비스 계정에 대한 관리 작업을 관리자가 아닌 계정으로 위임할 수 있습니다.
참고 항목
관리형 서비스 계정은 이 문서의 시작 부분의 적용 대상에 나열된 Windows 운영 체제에만 적용됩니다.
그룹 관리 서비스 계정
그룹 관리형 서비스 계정은 독립 실행형 관리형 서비스 계정의 확장으로, Windows Server 2008 R2에 도입되었습니다. 이러한 계정은 다른 관리자에게 관리 위임을 포함하여 자동 비밀번호 관리 및 간소화된 SPN 관리를 제공하는 관리형 도메인 계정입니다.
그룹 관리형 서비스 계정은 도메인 내에서 독립형 관리형 서비스 계정과 동일한 기능을 제공하지만 여러 서버에 걸쳐 그 기능을 확장합니다. 네트워크 부하 분산과 같이 서버 팜에서 호스팅되는 서비스에 연결하는 경우, 상호 인증을 지원하는 인증 프로토콜은 서비스의 모든 인스턴스가 동일한 주체를 사용하도록 요구합니다. 그룹 관리 서비스 계정을 서비스 주체로 사용하는 경우, 관리자가 비밀번호를 관리하는 대신 Windows Server 운영 체제에서 계정의 비밀번호를 관리합니다.
Microsoft 키 배포 서비스(kdssvc.dll)는 AD(Active Directory) 계정의 키 식별자가 있는 최신 키 또는 특정 키를 안전하게 얻을 수 있는 메커니즘을 제공합니다. 이 서비스는 Windows Server 2012에 도입되었으며 이전 버전의 Windows Server 운영 체제에서는 실행되지 않습니다. Kdssvc.dll은 계정의 키를 만드는 데 사용되는 비밀을 공유합니다. 이러한 키는 정기적으로 변경됩니다. 그룹 관리 서비스 계정의 경우 DC(도메인 컨트롤러)는 그룹 관리 서비스 계정의 다른 속성 외에 kdssvc.dll에서 제공하는 키에 대한 비밀번호를 계산합니다.
위임 관리 서비스 계정
Windows Server 2025에는 위임된 관리 서비스 계정(dMSA)이라는 새로운 유형의 계정이 추가되었습니다. 이 계정 유형을 사용하면 기존 서비스 계정에서 완전히 무작위화된 관리형 키를 사용하는 머신 계정으로 전환하는 동시에 기존 서비스 계정 비밀번호를 비활성화할 수 있습니다. dMSA에 대한 인증은 디바이스 ID에 연결되므로 AD에 매핑된 지정된 컴퓨터 ID만 계정에 액세스할 수 있습니다. dMSA를 사용하면 기존 서비스 계정과 연결된 손상된 계정을 사용하여 인증정보가 탈취되는 일반적인 문제를 방지할 수 있습니다.
사용자는 dMSA를 독립형 계정으로 만들거나 기존 표준 서비스 계정을 이 계정으로 대체할 수 있습니다. 기존 계정이 dMSA로 대체되면 이전 계정의 비밀번호를 사용한 인증이 차단됩니다. 대신 요청은 dMSA를 사용하여 인증하기 위해 로컬 보안 기관(LSA)으로 리디렉션되며, 이 기관은 AD의 이전 계정과 동일한 리소스에 액세스할 수 있게 됩니다. 자세한 내용은 위임 관리 서비스 계정 개요를 참조하세요.
가상 계정
가상 계정은 Windows Server 2008 R2 및 Windows 7에 도입되었습니다. 관리형 로컬 계정으로 다음과 같은 이점을 제공하여 서비스 관리를 간소화합니다.
- 가상 계정은 자동으로 관리됩니다.
- 가상 계정은 도메인 환경에서 네트워크에 액세스할 수 있습니다.
- 비밀번호 관리가 필요하지 않습니다. 예를 들어 Windows Server 2008 R2에서 SQL Server를 설치하는 동안 서비스 계정에 기본값을 사용하는 경우 인스턴스 이름을 서비스 이름으로 사용하는 가상 계정이
NT SERVICE\<SERVICENAME>
형식으로 설정됩니다.
가상 계정으로 실행되는 서비스는 <domain_name>\<computer_name>$
형식으로 된 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 액세스합니다.
가상 서비스 계정을 구성하고 사용하는 방법을 알아보려면 관리형 서비스 계정 및 가상 계정 개념을 참조하세요.
참고 항목
가상 계정은 이 글의 시작 부분의 '적용 대상'에 나열된 Windows 운영 체제에만 적용됩니다.
서비스 계정 선택
서비스 계정은 로컬 및 네트워크 리소스에 대한 서비스의 액세스를 제어하는 데 사용되며, 권한이 없는 사용자에게 민감한 정보나 리소스를 노출하지 않고 서비스가 안전하고 안전하게 운영될 수 있도록 도와줍니다. 서비스 계정 유형 간의 차이점을 확인하려면 비교표를 참조하세요.
조건 | sMSA | gMSA | dMSA | 가상 계정 |
---|---|---|---|---|
앱이 단일 서버에서 실행됨 | 예 | 예 | 예 | 예 |
앱이 여러 서버에서 실행됨 | 예 | 네 | 없음 | 아니요 |
앱이 부하 분산 장치 뒤에서 실행됨 | 예 | 네 | 없음 | 아니요 |
앱은 Windows Server 2008 R2 이상에서 실행됩니다. | 예 | 없음 | 아니요 | 예 |
단일 서버로 서비스 계정을 제한하기 위한 요구 사항 | 예 | 없음 | 네 | 아니요 |
디바이스 ID에 연결된 머신 계정 지원 | 아니요 | 아니요 | 네 | 아니요 |
보안 수준이 높은 시나리오에 사용(자격 증명 수집 방지) | 아니요 | 아니요 | 네 | 아니요 |
서비스 계정을 선택할 때는 서비스에서 요구하는 액세스 수준, 서버에 적용되는 보안 정책, 실행 중인 애플리케이션 또는 서비스의 특정 요구 사항 등의 요소를 고려하는 것이 중요합니다.
sMSA: 단일 컴퓨터에서 사용하도록 설계된 sMSA는 SPN 및 자격 증명을 관리하기 위한 안전하고 간소화된 방법을 제공합니다. 비밀번호를 자동으로 관리하며 중요한 애플리케이션에서 도메인 계정을 격리하는 데 이상적입니다. 그러나 여러 서버나 서버 클러스터에서는 사용할 수 없습니다.
gMSA: 여러 서버를 지원하여 서버 팜 및 부하 분산 애플리케이션에 적합하도록 sMSA의 기능을 확장합니다. 자동 비밀번호 및 SPN 관리 기능을 제공하여 관리 부담을 덜어줍니다. gMSA는 단일 ID 솔루션을 제공하여 여러 인스턴스에서 서비스를 원활하게 인증할 수 있도록 합니다.
dMSA: 인증을 특정 머신 ID에 연결하여 자격 증명 수집을 통한 무단 액세스를 방지하고, 완전히 무작위화되고 관리되는 키를 사용하는 기존 서비스 계정에서 전환할 수 있습니다. dMSA는 기존의 기존 서비스 계정을 대체하여 인증된 디바이스만 중요한 리소스에 액세스할 수 있도록 합니다.
가상 계정: 수동으로 비밀번호를 관리할 필요 없이 간소화된 서비스 관리 방식을 제공하는 관리형 로컬 계정입니다. 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 액세스할 수 있으므로 도메인 액세스가 필요한 서비스에 적합합니다. 가상 계정은 자동으로 관리되며 최소한의 구성만 필요합니다.
참고 항목
내용 유형 | 참조 |
---|---|
제품 평가 | What's New for Managed Service Accounts 그룹 관리 서비스 계정 시작하기 |
배포 | Windows Server 2012: 그룹 관리 서비스 계정 - 기술 커뮤니티 |
관련 기술 | 보안 원칙 Active Directory Domain Services의 새로운 기능 |