MBAM 2.5 그룹 및 계정 계획
이 항목에서는 Microsoft BitLocker 관리 및 모니터링(MBAM) 데이터베이스, 보고서 및 웹 애플리케이션에 대한 보안 및 액세스 권한을 제공하기 위해 AD DS(Active Directory Domain Services)에서 만들어야 하는 역할 및 계정을 나열합니다. 각 역할 및 계정에 대해 MBAM 서버 구성 마법사의 해당 필드가 제공됩니다. 이러한 계정에 해당하는 Windows PowerShell cmdlet 및 매개 변수 목록은 Windows PowerShell 사용하여 MBAM 2.5 서버 기능 구성을 참조하세요.
참고
MBAM은 관리되는 서비스 계정 사용을 지원하지 않습니다.
데이터베이스 계정
준수 및 감사 데이터베이스 및 복구 데이터베이스에 대해 다음 계정을 만듭니다.
| 계정 이름 및 용도 | 계정 유형 | 이 계정에 해당하는 MBAM 서버 구성 마법사 필드 | 이 계정에 해당하는 MBAM 서버 구성 마법사 필드에 대한 설명 |
|---|---|---|---|
준수 및 감사 데이터베이스 및 복구 데이터베이스 읽기/쓰기 사용자 또는 보고서에 대한 그룹 |
사용자 또는 그룹 |
읽기/쓰기 액세스 도메인 사용자 또는 그룹 |
웹 애플리케이션이 이러한 데이터베이스의 데이터 및 보고서에 액세스할 수 있도록 규정 준수 및 감사 데이터베이스 및 복구 데이터베이스에 대한 읽기/쓰기 권한이 있는 도메인 사용자 또는 그룹입니다. 이 필드에 사용자 이름을 입력하는 경우 웹 애플리케이션 구성 페이지의 웹 서비스 애플리케이션 풀 도메인 계정 필드 값과 동일한 값이어야 합니다. 이 필드에 그룹 이름을 입력하면 웹 애플리케이션 구성 페이지의 웹 서비스 애플리케이션 풀 도메인 계정 필드 값이 이 필드에 입력한 그룹의 구성원이어야 합니다. |
보고서에 대한 준수 및 감사 데이터베이스 읽기 전용 사용자 또는 그룹 |
사용자 또는 그룹 |
읽기 전용 액세스 도메인 사용자 또는 그룹 |
보고서가 이 데이터베이스의 규정 준수 및 감사 데이터에 액세스할 수 있도록 규정 준수 및 감사 데이터베이스에 대한 읽기 전용 액세스 권한이 있는 사용자 또는 그룹의 이름입니다. 이 필드에 사용자 이름을 입력하는 경우 보고서 구성 페이지의 준수 및 감사 데이터베이스 도메인 계정 필드에 지정한 사용자와 동일한 사용자여야 합니다. 이 필드에 그룹 이름을 입력하면 보고서 구성 페이지의 준수 및 감사 데이터베이스 도메인 계정 필드에 지정한 값이 이 필드에 지정한 그룹의 구성원이어야 합니다. |
보고 계정
보고서 기능에 대해 다음 계정을 만듭니다.
| 계정 이름/용도 | 계정 유형 | 이 계정에 해당하는 MBAM 서버 구성 마법사 필드 | 이 계정에 해당하는 MBAM 서버 구성 마법사 필드에 대한 설명 |
|---|---|---|---|
읽기 전용 도메인 액세스 그룹 보고 |
그룹 |
보고 역할 도메인 그룹 |
관리 및 모니터링 웹 사이트의 보고서에 대한 읽기 전용 액세스 권한이 있는 도메인 사용자 그룹을 지정합니다. 지정한 그룹은 웹앱을 사용할 때 보고서 읽기 전용 액세스 그룹 매개 변수에 대해 지정한 그룹과 동일해야 합니다. |
준수 및 감사 데이터베이스 도메인 사용자 계정 |
사용자 |
준수 및 감사 데이터베이스 도메인 계정 |
로컬 SQL Server Reporting Services 인스턴스가 준수 및 감사 데이터베이스에 액세스하는 데 사용하는 도메인 사용자 계정 및 암호입니다. 이 계정에는 SQL Server Reporting Services 서버에 대한 Batch 권한으로 로그온이 필요합니다. 데이터베이스 구성 페이지의 읽기 전용 액세스 도메인 사용자 또는 그룹 필드에 입력하는 값이 사용자 이름인 경우 이 필드에 동일한 값을 입력해야 합니다. 데이터베이스 구성 페이지의 읽기 전용 액세스 도메인 사용자 또는 그룹 필드에 입력하는 값이 그룹 이름인 경우 이 필드에 입력하는 값은 해당 그룹의 구성원이어야 합니다. 이 계정의 암호가 만료되지 않도록 구성합니다. 사용자 계정은 MBAM 보고서 사용자 그룹에 사용할 수 있는 모든 데이터에 액세스할 수 있어야 합니다. |
관리 및 모니터링 웹 사이트(지원 센터) 계정
관리 및 모니터링 웹 사이트에 대해 다음 계정을 만듭니다.
| 계정 이름/용도 | 계정 유형 | 이 계정에 해당하는 MBAM 서버 구성 마법사 필드 | 이 계정에 해당하는 MBAM 서버 구성 마법사 필드에 대한 설명 |
|---|---|---|---|
웹 서비스 애플리케이션 풀 도메인 계정 |
사용자 |
웹 서비스 애플리케이션 풀 도메인 계정 |
웹 애플리케이션에 대한 애플리케이션 풀에서 사용할 도메인 사용자 계정입니다. 데이터베이스 구성 페이지의 읽기/쓰기 액세스 도메인 사용자 또는 그룹 필드에 사용자 이름을 입력하는 경우 이 필드에 동일한 값을 입력해야 합니다. 데이터베이스 구성 페이지의 읽기/쓰기 액세스 도메인 사용자 또는 그룹 필드에 그룹 이름을 입력하는 경우 이 필드에 입력하는 값은 해당 그룹의 구성원이어야 합니다. 자격 증명을 지정하지 않으면 이전에 사용하도록 설정된 웹 애플리케이션에 대해 지정된 자격 증명이 사용됩니다. 모든 웹 애플리케이션은 동일한 애플리케이션 풀 자격 증명을 사용해야 합니다. 다른 웹 애플리케이션에 대해 다른 자격 증명을 지정하는 경우 가장 최근에 지정된 값이 사용됩니다.
중요
보안을 향상하려면 자격 증명에 지정된 계정을 제한된 사용자 권한으로 설정합니다. |
MBAM 고급 기술 지원팀 사용자 액세스 그룹 |
그룹 |
MBAM 고급 기술 지원팀 사용자 |
구성원이 관리 및 모니터링 웹 사이트의 모든 복구 영역에 액세스할 수 있는 도메인 사용자 그룹입니다. 이 역할이 있는 사용자는 최종 사용자가 드라이브를 복구하도록 도울 때 최종 사용자의 도메인 및 사용자 이름이 아닌 복구 키만 입력해야 합니다. 사용자가 MBAM 기술 지원팀 사용자 그룹과 MBAM 고급 기술 지원팀 사용자 그룹의 구성원인 경우 MBAM 고급 기술 지원팀 사용자 그룹 권한은 MBAM 기술 지원팀 그룹 권한을 재정의합니다. |
MBAM 기술 지원팀 사용자 액세스 그룹 |
그룹 |
MBAM 기술 지원팀 사용자 |
구성원이 MBAM 관리 및 모니터링 웹 사이트의 TPM 관리 및 드라이브 복구 영역에 액세스할 수 있는 도메인 사용자 그룹입니다. 이 역할이 있는 개인은 두 옵션 중 하나를 사용할 때 최종 사용자의 도메인 및 계정 이름을 포함한 모든 필드를 입력해야 합니다. 사용자가 MBAM 기술 지원팀 사용자 그룹과 MBAM 고급 기술 지원팀 사용자 그룹의 구성원인 경우 MBAM 고급 기술 지원팀 사용자 그룹 권한은 MBAM 기술 지원팀 그룹 권한을 재정의합니다. |
MBAM 보고서 사용자 액세스 그룹 |
그룹 |
MBAM 보고서 사용자 |
구성원이 관리 및 모니터링 웹 사이트의 보고서 영역에 있는 보고서에 대한 읽기 전용 액세스 권한이 있는 도메인 사용자 그룹입니다. |
MBAM 데이터 마이그레이션 사용자 그룹 |
그룹 |
MBAM 데이터 마이그레이션 사용자 |
MBAM 서버에서 실행되는 MBAM 복구 및 하드웨어 서비스를 사용하여 멤버가 MBAM에 데이터를 쓸 수 있는 권한이 있는 선택적 도메인 사용자 그룹입니다. 이 계정은 일반적으로 Write-Mbam* cmdlet과 함께 Active Directory의 복구 및 TPM 데이터를 MBAM 데이터베이스에 쓰는 데 사용됩니다. 자세한 내용은 MBAM 2.5 보안 고려 사항을 참조하세요. |
관련 항목
MBAM에 대한 제안이 있나요?
MBAM 문제의 경우 MBAM TechNet 포럼을 사용합니다.