부록 I: Active Directory의 보호된 계정 및 그룹에 대한 관리 계정 만들기Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

높은 권한 있는 그룹에서 영구 멤버 자격에 의존 하지 않는 한 Active Directory 모델을 구현 하는의 과제 중 하나는 임시 그룹의 멤버 자격이 필요 하는 경우 이러한 그룹을 채울 수 있는 메커니즘 이어야 합니다.One of the challenges in implementing an Active Directory model that does not rely on permanent membership in highly privileged groups is that there must be a mechanism to populate these groups when temporary membership in the groups is required. 일부 권한 있는 id 관리 솔루션 소프트웨어의 서비스 계정에 DA 또는 포리스트의 각 도메인의 관리자와 같은 그룹에서 영구 멤버 자격을 부여 되어 있는지 필요 합니다.Some privileged identity management solutions require that the software's service accounts are granted permanent membership in groups such as DA or Administrators in each domain in the forest. 그러나 기술적으로 필요 없는 이러한 높은 권한이 필요한 컨텍스트에서 서비스를 실행 하는 권한 있는 Identity 관리 (PIM) 솔루션에 대 한 합니다.However, it is technically not necessary for Privileged Identity Management (PIM) solutions to run their services in such highly privileged contexts.

이 부록에서는 기본적으로 구현 된 또는 타사 PIM 솔루션에 대 한 권한을 제한 하는 고 엄격 하 게 제어할 수 있지만 임시 권한 상승이 필요한 경우 Active Directory의 권한 있는 그룹을 채우는 데 사용할 수 있는 계정 만들기를 사용할 수 있는 정보를 제공 합니다.This appendix provides information that you can use for natively implemented or third-party PIM solutions to create accounts that have limited privileges and can be stringently controlled, but can be used to populate privileged groups in Active Directory when temporary elevation is required. PIM 네이티브 솔루션으로 구현 하는 경우 이러한 계정을 사용할 수 있습니다 관리 담당자 임시 그룹 채우기를 수행 하지 하 고 타사 소프트웨어를 통해 PIM를 구현 하는 경우 이러한 계정은 서비스 계정으로 작동 하는 데 활용할 수 있습니다.If you are implementing PIM as a native solution, these accounts may be used by administrative staff to perform the temporary group population, and if you're implementing PIM via third-party software, you might be able to adapt these accounts to function as service accounts.

참고

이 부록에서 설명 하는 절차는 Active Directory에서 높은 권한 있는 그룹의 관리 하는 접근 방식을 제공 합니다.The procedures described in this appendix provide one approach to the management of highly privileged groups in Active Directory. 필요에 따라, 추가 제한을 추가 하려면이 절차를 조정 하거나 여기에 설명 되어 있는 제한의 일부를 생략할 수 있습니다.You can adapt these procedures to suit your needs, add additional restrictions, or omit some of the restrictions that are described here.

Active Directory의 보호 된 계정 및 그룹에 대 한 계정 관리Creating Management Accounts for Protected Accounts and Groups in Active Directory

과도 한 권한 부여 관리 계정을 요구 하지 않고 권한 있는 그룹의 구성원을 관리에 사용할 수 있는 계정 만들기 및 사용 권한 구성 이어지는 단계별 지침에 설명 된 네 가지 일반 작업:Creating accounts that can be used to manage the membership of privileged groups without requiring the management accounts to be granted excessive rights and permissions consists of four general activities that are described in the step-by-step instructions that follow:

  1. 첫째, 만들어야 하는 계정을 관리 하는 그룹의 관계를 이러한 계정은 제한 된 신뢰할 수 있는 사용자 집합으로 관리 해야 하기 때문에 합니다.First, you should create a group that will manage the accounts, because these accounts should be managed by a limited set of trusted users. 따로 저장 권한 및 보호 된 계정 및 도메인의 일반적인 인구에서 시스템을 수용 하는 OU 구조 아직 없는 경우 만들어야 합니다.If you do not already have an OU structure that accommodates segregating privileged and protected accounts and systems from the general population in the domain, you should create one. 이 부록에 구체적인 지침은 제공 되지 않으면 있지만 스크린 샷을 OU 계층의 예를 보여 줍니다.Although specific instructions are not provided in this appendix, screenshots show an example of such an OU hierarchy.

  2. 관리 계정을 만듭니다.Create the management accounts. 이러한 계정은 "일반" 사용자 계정으로 작성 하 고 기본적으로 사용자에 게 이미 부여 된 것 이외의 없는 사용자 권한이 부여 해야 합니다.These accounts should be created as "regular" user accounts and granted no user rights beyond those that are already granted to users by default.

  3. 만들어진 사용 하도록 설정 하 고 계정 (첫 번째 단계에서 만든 그룹)를 사용할 수 있는 제어 하는 것 외에도 특별 한 용도로 사용할 수 있도록 하는 관리 계정에 제한을 구현 합니다.Implement restrictions on the management accounts that make them usable only for the specialized purpose for which they were created, in addition to controlling who can enable and use the accounts (the group you created in the first step).

  4. AdminSDHolder 개체 관리 계정이 도메인에서 권한 있는 그룹의 구성원 자격을 변경할 수 있도록 각 도메인에서 권한을 구성 합니다.Configure permissions on the AdminSDHolder object in each domain to allow the management accounts to change the membership of the privileged groups in the domain.

철저 하 게 모든이 절차를 테스트 하 고 사용자 환경에 프로덕션 환경에서 구현 하기 전에 필요에 따라이 수정 해야 합니다.You should thoroughly test all of these procedures and modify them as needed for your environment before implementing them in a production environment. 모든 설정이 예상 대로 작동 하는지 확인 해야 (일부 테스트 절차는이 부록의 내용 제공), 하 고는 관리 계정을 사용할 수 없는 복구를 위해 보호 그룹을 채우는 데 사용할 재해 복구 시나리오를 테스트 해야 합니다.You should also verify that all settings work as expected (some testing procedures are provided in this appendix), and you should test a disaster recovery scenario in which the management accounts are not available to be used to populate protected groups for recovery purposes. 백업 및 Active Directory를 복원 하는 방법에 대 한 자세한 내용은 참조는 AD DS 백업 및 복구 단계별 가이드합니다.For more information about backing up and restoring Active Directory, see the AD DS Backup and Recovery Step-by-Step Guide.

참고

이 부록에서 설명 하는 단계를 구현 하 여 EAs, DAs, BAs 등 가장 높은 권한 Active Directory 그룹 뿐만 아니라, 각 도메인의 모든 보호 된 그룹의 구성원을 관리할 수 있는 계정을 만듭니다.By implementing the steps described in this appendix, you will create accounts that will be able to manage the membership of all protected groups in each domain, not only the highest-privilege Active Directory groups like EAs, DAs and BAs. Active Directory의 보호 된 그룹에 대 한 자세한 내용은 참조 부록 c: 보호 된 계정 및 Active Directory의 그룹합니다.For more information about protected groups in Active Directory, see Appendix C: Protected Accounts and Groups in Active Directory.

보호 그룹에 대 한 관리 계정을 만들기 위한 단계별 지침Step-by-Step Instructions for Creating Management Accounts for Protected Groups

설정 및 관리 계정을 해제 하는 그룹 만들기Creating a Group to Enable and Disable Management Accounts

관리 계정 암호에 사용할 때마다 다시 설정 해야 하 고 것을 요구 하는 활동 완료 되 면 해제 되어야 합니다.Management accounts should have their passwords reset at each use and should be disabled when activities requiring them are complete. 또한 이러한 계정에 대 한 스마트 카드 로그온 요구 사항을 구현 하는 것이 좋습니다, 있지만 선택적 구성 이며 이러한 지침 최소 컨트롤로 관리 계정을 사용자 이름 및 길고 복잡 한 암호 사용 하 여 구성할 수는 가정입니다.Although you might also consider implementing smart card logon requirements for these accounts, it is an optional configuration and these instructions assume that the management accounts will be configured with a user name and long, complex password as minimum controls. 이 단계에서는 관리 계정에서 암호 재설정을 사용 하도록 설정 하 고 계정을 사용할 수 없게 하는 권한이 있는 그룹을 만들게 됩니다.In this step, you will create a group that has permissions to reset password on the management accounts and to enable and disable the accounts.

설정 및 관리 계정을 해제 하는 그룹을 만들려면 다음 단계를 수행 합니다.To create a group to enable and disable management accounts, perform the following steps:

  1. 위치 하는 수 보유할 수 있도록 관리 계정 OU 구조에서 그룹을 만들려면 원하는 OU를 마우스 오른쪽 단추로 클릭 하 여 새로 클릭 그룹합니다.In the OU structure where you will be housing the management accounts, right-click the OU where you want to create the group, click New and click Group.

    관리 계정 만들기

  2. 새 개체-그룹 대화 상자에서 그룹의 이름을 입력 합니다.In the New Object - Group dialog box, enter a name for the group. 이 그룹 "모든 관리 계정 포리스트에서 활성화"을 사용 하려는 경우 유니버설 보안 그룹을 확인 합니다.If you plan to use this group to "activate" all management accounts in your forest, make it a universal security group. 단일 도메인 포리스트가 있는 경우 각 도메인에서 그룹을 만들려는 경우에 글로벌 보안 그룹을 만들 수 있습니다.If you have a single-domain forest or if you plan to create a group in each domain, you can create a global security group. 확인을 클릭하여 그룹을 만듭니다.Click OK to create the group.

    관리 계정 만들기

  3. 방금 만든 그룹을 마우스 오른쪽 단추로 클릭 하 고 속성을 클릭 한 다음 개체 탭을 클릭 합니다. 그룹의 개체 속성 대화 상자에서 실수로 삭제 되지 않도록 개체 보호를 선택 합니다. 이렇게 하면 권한 있는 사용자가 그룹을 삭제 하는 것을 방지할 뿐만 아니라 특성을 먼저 선택 취소 하지 않는 한 다른 OU로 이동 하는 것을 방지할 수 있습니다.Right-click the group you just created, click Properties, and click the Object tab. In the group's Object property dialog box, select Protect object from accidental deletion, which will not only prevent otherwise-authorized users from deleting the group, but also from moving it to another OU unless the attribute is first deselected.

    관리 계정 만들기

    참고

    그룹의 부모 관리 사용자의 제한 된 집합을 제한 하는 Ou에 사용 권한을 이미 구성한 경우 다음 단계를 수행 해야 하지 않습니다.If you have already configured permissions on the group's parent OUs to restrict administration to a limited set of users, you may not need to perform the following steps. 제공 여기 하므로 제한 된 관리 제어권이이 그룹 만든 OU 구조를 아직 구현 하지 않았기 하는 경우에 수정할 수 없도록 그룹을 보호할 수 있습니다 권한이 없는 사용자가 있습니다.They are provided here so that even if you have not yet implemented limited administrative control over the OU structure in which you've created this group, you can secure the group against modification by unauthorized users.

  4. 클릭 하 고 멤버 탭을 팀 멤버에 대 한 관리 계정을 사용 하도록 설정 하거나 채우는 담당할 필요할 때 그룹 보호에 대 한 계정을 추가 합니다.Click the Members tab, and add the accounts for members of your team who will be responsible for enabling management accounts or populating protected groups when necessary.

    관리 계정 만들기

  5. 이미 않았다면 등에 하는 경우는 Active Directory 사용자 및 컴퓨터 콘솔 보기 선택한 고급 기능합니다.If you have not already done so, in the Active Directory Users and Computers console, click View and select Advanced Features. 방금 만든 그룹을 마우스 오른쪽 단추로 클릭 하 고 속성을 클릭 한 다음 보안 탭을 클릭 합니다. 보안 탭에서 고급을 클릭 합니다.Right-click the group you just created, click Properties, and click the Security tab. On the Security tab, click Advanced.

    관리 계정 만들기

  6. [그룹]에 대 한 고급 보안 설정 대화 상자를 클릭 하 여 상속 사용 안 함합니다.In the Advanced Security Settings for [Group] dialog box, click Disable Inheritance. 대화 상자가 나타나면 클릭 변환에는이 개체에 대 한 명시적 사용 권한으로 사용 권한을 상속 받은, 클릭 하 고 확인 그룹의 돌아가려면 보안 대화 상자입니다.When prompted, click Convert inherited permissions into explicit permissions on this object, and click OK to return to the group's Security dialog box.

    관리 계정 만들기

  7. 보안 탭에서이 그룹에 액세스를 허용 되지 않은 그룹을 제거 합니다.On the Security tab, remove groups that should not be permitted to access this group. 예를 들어 인증 된 사용자 그룹의 이름 및 일반 속성을 읽을 수 있으려면 하지 않으려면 해당 ACE를 제거할 수 있습니다.For example, if you do not want Authenticated Users to be able to read the group's name and general properties, you can remove that ACE. 계정 운영자 및 이전 windows 2000 Server 액세스를 위한 호환 가능한 것과 같은 Ace를 제거할 수도 있습니다.You can also remove ACEs, such as those for account operators and pre-Windows 2000 Server compatible access. 그러나 위치에 최소 개체 사용 권한 집합을 유지 해야 합니다.You should, however, leave a minimum set of object permissions in place. 다음 Ace를 그대로 둡니다.Leave the following ACEs intact:

    • SELFSELF

    • SYSTEMSYSTEM

    • 도메인 관리자Domain Admins

    • 엔터프라이즈 관리자Enterprise Admins

    • 관리자Administrators

    • Windows Authorization Access Group (있는 경우)Windows Authorization Access Group (if applicable)

    • 엔터프라이즈 도메인 컨트롤러ENTERPRISE DOMAIN CONTROLLERS

    이 그룹을 관리 하려면 Active Directory에서 가장 높은 권한 있는 그룹을 허용 하 게 들릴 수 있습니다, 있지만 이러한 설정을 구현할 목표 하지 않으려면 해당 그룹의 구성원 권한이 부여 된 변경입니다.Although it may seem counterintuitive to allow the highest privileged groups in Active Directory to manage this group, your goal in implementing these settings is not to prevent members of those groups from making authorized changes. 대신, 매우 높은 수준의 권한 필요로 하는 경우, 있는 경우 권한이 부여 된 변경 내용을 성공 합니다 되도록 목표가입니다.Rather, the goal is to ensure that when you have occasion to require very high levels of privilege, authorized changes will succeed. 중첩 그룹, 권한, 권한 있는 기본값을 변경 하 고이 문서 전체에서 사용 권한을 권장 하지 않습니다.이 때문입니다.It is for this reason that changing default privileged group nesting, rights, and permissions are discouraged throughout this document. 기본 구조를 수정 하지 않고 디렉터리에서 가장 높은 권한 그룹의 멤버 자격을 비우고 초기값을 여전히 예상 대로 작동 하는 보다 안전한 환경을 만들 수 있습니다.By leaving default structures intact and emptying the membership of the highest privilege groups in the directory, you can create a more secure environment that still functions as expected.

    관리 계정 만들기

    참고

    이 그룹을 만든 OU 구조에는 개체에 대 한 감사 정책을 아직 구성 하지 않은 경우 구성 해야 감사 변경 내용을 기록할를이 그룹.If you have not already configured audit policies for the objects in the OU structure where you created this group, you should configure auditing to log changes this group.

  8. "체크 아웃" 하는 그룹의 구성을 완료 했습니다 "체크 인" 계정을 해당 작업을 완료 한 후 필요한 경우 관리 계정.You have completed configuration of the group that will be used to "check out" management accounts when they are needed and "check in" the accounts when their activities have been completed.

관리 계정 만들기Creating the Management Accounts

Active Directory 설치의 권한 있는 그룹의 멤버 자격을 관리 하는 데 사용 될 하나 이상의 계정 및 가급적 백업으로 사용할 수 있는 두 번째 계정을 만들어야 합니다.You should create at least one account that will be used to manage the membership of privileged groups in your Active Directory installation, and preferably a second account to serve as a backup. 그룹, 보호 된 포리스트에 단일 도메인에 관리 계정을 만들고 모든 도메인에 대 한 관리 기능 권한을 부여 하도록 선택 하 든 또는 포리스트의 각 도메인에서 관리 계정을 구현 하 든 절차는 효과적으로 동일 합니다.Whether you choose to create the management accounts in a single domain in the forest and grant them management capabilities for all domains' protected groups, or whether you choose to implement management accounts in each domain in the forest, the procedures are effectively the same.

참고

이 문서의 단계는 아직 구현 하지 역할 기반 액세스 제어 및 Active Directory에 대 한 권한 있는 id 관리 하는 것으로 가정 합니다.The steps in this document assume that you have not yet implemented role-based access controls and privileged identity management for Active Directory. 따라서 일부 절차는 계정이 해당 도메인에 대 한 Domain Admins 그룹의 멤버인 사용자가 수행 되어야 합니다.Therefore, some procedures must be performed by a user whose account is a member of the Domain Admins group for the domain in question.

DA 권한을 가진 계정을 사용 하는 경우 구성 작업을 수행 하는 도메인 컨트롤러에 로그온 할 수 있습니다.When you are using an account with DA privileges, you can log on to a domain controller to perform the configuration activities. 관리 워크스테이션에 로그온 하는 권한이 적은 계정에서 DA 권한이 필요 하지 않은 단계를 수행할 수 있습니다.Steps that do not require DA privileges can be performed by less-privileged accounts that are logged on to administrative workstations. 밝은 파란색 테두리가 있는 대화 상자를 보여 주는 스크린 샷을 도메인 컨트롤러에서 수행할 수 있는 활동을 나타냅니다.Screen shots that show dialog boxes bordered in the lighter blue color represent activities that can be performed on a domain controller. 어두운 파란색에서 대화 상자를 보여 주는 스크린 샷을 계정 권한을 제한 하는 관리 워크스테이션에서 수행할 수 있는 활동을 나타냅니다.Screen shots that show dialog boxes in the darker blue color represent activities that can be performed on administrative workstations with accounts that have limited privileges.

관리 계정을 만들려면 다음 단계를 수행 합니다.To create the management accounts, perform the following steps:

  1. 도메인의 DA 그룹의 구성원 인 계정으로 도메인 컨트롤러에 로그온 합니다.Log on to a domain controller with an account that is a member of the domain's DA group.

  2. 시작 Active Directory 사용자 및 컴퓨터 관리 계정을 만들어야 OU로 이동 합니다.Launch Active Directory Users and Computers and navigate to the OU where you will be creating the management account.

  3. OU를 마우스 오른쪽 단추로 클릭 하 고 클릭 새로 클릭 사용자합니다.Right-click the OU and click New and click User.

  4. 새 개체-사용자 대화 상자를 원하는 명명 된 계정에 대 한 정보를 입력 한 다음 클릭 다음합니다.In the New Object - User dialog box, enter your desired naming information for the account and click Next.

    관리 계정 만들기

  5. 분명 사용자 계정에 대 한 초기 암호를 제공 사용자는 다음 로그온 할 때 암호를 변경 해야, 선택, 사용자 암호를 변경할 수 없습니다계정이 비활성화 되어, 클릭 하 고 다음합니다.Provide an initial password for the user account, clear User must change password at next logon, select User cannot change password and Account is disabled, and click Next.

    관리 계정 만들기

  6. 확인 올바른지 계정 세부 정보를 클릭 마침합니다.Verify that the account details are correct and click Finish.

  7. 방금 만든 사용자 개체를 마우스 오른쪽 단추로 클릭 하 고 클릭 속성합니다.Right-click the user object you just created and click Properties.

  8. 계정 탭을 클릭합니다.Click the Account tab.

  9. 계정 옵션 필드를 선택한는 계정이 민감하여 위임할 수 없음 플래그를는 이 계정은 Kerberos AES 128 비트 암호화를 지원 및/또는 이 계정은 Kerberos AES 256 암호화를 지 원하는 플래그를 클릭 하 고 확인.In the Account Options field, select the Account is sensitive and cannot be delegated flag, select the This account supports Kerberos AES 128 bit encryption and/or the This account supports Kerberos AES 256 encryption flag, and click OK.

    관리 계정 만들기

    참고

    다른 계정과 마찬가지로이 계정에는 제한 하지만 강력한 함수가 포함 되므로 계정은 보안 관리 호스트에만 사용 해야 합니다.Because this account, like other accounts, will have a limited, but powerful function, the account should only be used on secure administrative hosts. 모든 보안 관리에 있는 호스트의 사용자 환경에 대 한 구현을 고려해 그룹 정책 설정을 네트워크 보안: Kerberos에 허용 되는 구성 암호화 종류 가장 안전한 암호화 종류를 허용 하도록 보안 호스트에 구현할 수 있습니다.For all secure administrative hosts in your environment, you should consider implementing the Group Policy setting Network Security: Configure Encryption types allowed for Kerberos to allow only the most secure encryption types you can implement for secure hosts.

    호스트에 대 한 보다 안전한 암호화 종류를 구현 하는 경우에 자격 증명 도난 공격 완화 되지 않습니다, 하지만 적절 한 사용 및 보안 호스트의 구성에서는 않습니다.Although implementing more secure encryption types for the hosts does not mitigate credential theft attacks, the appropriate use and configuration of the secure hosts does. 컴퓨터의 전반적인 공격 노출을 줄입니다만 권한 있는 계정에서 사용 되는 호스트에 대 한 더 강력한 암호화 유형을 설정 합니다.Setting stronger encryption types for hosts that are only used by privileged accounts simply reduces the overall attack surface of the computers.

    시스템 및 계정에서 암호화 종류를 구성 하는 방법에 대 한 자세한 내용은 참조 Kerberos 지원 암호화 유형에 대 한 Windows 구성합니다.For more information about configuring encryption types on systems and accounts, see Windows Configurations for Kerberos Supported Encryption Type.

    이러한 설정은 Windows Server 2012, Windows Server 2008 R2, Windows 8 또는 Windows 7을 실행 하는 컴퓨터 에서만 지원 됩니다.These settings are supported only on computers running Windows Server 2012, Windows Server 2008 R2, Windows 8, or Windows 7.

  10. 개체 탭을 선택 실수로 삭제 되지 않도록에서 개체 보호합니다.On the Object tab, select Protect object from accidental deletion. 이 개체도 (권한 있는 사용자의 경우) 하 여 삭제를 수 있지만 방해 하 여 AD DS 계층 구조에서 다른 OU로 이동 되지 특성을 변경할 수 있는 권한이 있는 사용자는 확인란의 선택을 취소 먼저 하지 않는 한 합니다.This will not only prevent the object from being deleted (even by authorized users), but will prevent it from being moved to a different OU in your AD DS hierarchy, unless the check box is first cleared by a user with permission to change the attribute.

    관리 계정 만들기

  11. 클릭 하 고 원격 제어 탭 합니다.Click the Remote control tab.

  12. 지우기는 원격 제어 사용 플래그입니다.Clear the Enable remote control flag. 지원 담당자가이 계정 수정 프로그램을 구현 하는이 세션에 연결 하는 데 필요한 안 있습니다.It should never be necessary for support staff to connect to this account's sessions to implement fixes.

    관리 계정 만들기

    참고

    Active Directory 모든 개체에에서 지정된 된 IT 소유자 및 있어야 지정 된 비즈니스 소유자가에 설명 된 대로 손상에 대 한 계획합니다.Every object in Active Directory should have a designated IT owner and a designated business owner, as described in Planning for Compromise. (외부 데이터베이스)가 아니라 Active Directory에서 AD DS 개체의 소유권을 추적 하는 경우에이 개체의이 속성에 적절 한 소유권 정보를 입력 해야 합니다.If you are tracking ownership of AD DS objects in Active Directory (as opposed to an external database), you should enter appropriate ownership information in this object's properties.

    이 경우 비즈니스 소유자는 대개 IT 부서는 andthere 비즈니스 소유자가 있는 IT 소유자에 대 한 금지 없습니다.In this case, the business owner is most likely an IT division, andthere is no prohibition on business owners also being IT owners. 개체의 소유권을 설정 하는 점은 변경 해야 할 개체에 아마도 년 초기 생성에서 하는 경우 연락처를 식별할 수 있도록 하는 것입니다.The point of establishing ownership of objects is to allow you to identify contacts when changes need to be made to the objects, perhaps years from their initial creation.

  13. 클릭 된 조직 탭 합니다.Click on the Organization tab.

  14. AD DS 개체 표준 프로그램에 필요한 모든 정보를 입력 합니다.Enter any information that is required in your AD DS object standards.

    관리 계정 만들기

  15. 클릭 된 전화 접속 탭 합니다.Click on the Dial-in tab.

  16. 네트워크 액세스 권한 필드를 선택한 액세스 거부합니다. 이 계정은 해야 원격 연결을 통해 연결할 필요는 없습니다.In the Network Access Permission field, select Deny access.This account should never need to connect over a remote connection.

    관리 계정 만들기

    참고

    이 계정은 사용자 환경에서 읽기 전용 도메인 컨트롤러 (Rodc)에 로그온 하는 많지 않습니다.It is unlikely that this account will be used to log on to read-only domain controllers (RODCs) in your environment. 그러나 해야 상황에서 필요한 계정에 로그온 RODC에 로그온 추가 해야이 계정이 Denied RODC Password Replication Group에 해당 암호는 RODC에 캐시 되지 않도록 합니다.However, should circumstance ever require the account to log on to an RODC, you should add this account to the Denied RODC Password Replication Group so that its password is not cached on the RODC.

    각 사용 후 계정 암호를 다시 설정 해야 하 고 계정을 사용 하지 않도록 설정 해야 하지만이 설정을 구현 하는 계정에 나쁜 영향 없고 관리자 계정의 암호를 다시 설정 하 고 비활성화가 잊어버린 경우에 도움이 될 수 있습니다.Although the account's password should be reset after each use and the account should be disabled, implementing this setting does not have a deleterious effect on the account, and it might help in situations in which an administrator forgets to reset the account's password and disable it.

  17. 소속 그룹 탭을 클릭합니다.Click the Member Of tab.

  18. 추가를 클릭합니다.Click Add.

  19. 형식 Denied RODC Password Replication Group선택 사용자, 연락처, 컴퓨터 대화 상자를 클릭 하 고 이름 확인합니다.Type Denied RODC Password Replication Group in the Select Users, Contacts, Computers dialog box and click Check Names. 개체 선택기에서 그룹의 이름에 밑줄이 클릭 확인 이제 계정이 다음 스크린 샷에 표시 되는 두 그룹의 구성원 인지 확인 합니다.When the name of the group is underlined in the object picker, click OK and verify that the account is now a member of the two groups displayed in the following screenshot. 보호 그룹에 계정을 추가 하지 마십시오.Do not add the account to any protected groups.

  20. 확인을 클릭합니다.Click OK.

    관리 계정 만들기

  21. 클릭 하 고 보안 탭을 클릭 고급합니다.Click the Security tab and click Advanced.

  22. 고급 보안 설정 대화 상자를 클릭 하 여 상속 사용 안 함 명시적 권한이 상속된 된 사용 권한을 복사 하 고을 클릭 추가합니다.In the Advanced Security Settings dialog box, click Disable inheritance and copy the inherited permissions as explicit permissions, and click Add.

    관리 계정 만들기

  23. [Account]에 대 한 사용 권한 항목 대화 상자를 클릭 보안 주체 선택 이전 절차에서 만든 그룹을 추가 합니다.In the Permission Entry for [Account] dialog box, click Select a principal and add the group you created in the previous procedure. 대화 상자의 아래쪽으로 스크롤하여 클릭 모두 지우기 모든 기본 권한을 제거 합니다.Scroll to the bottom of the dialog box and click Clear all to remove all default permissions.

    관리 계정 만들기

  24. 맨 위에 있는 스크롤은 권한 항목 대화 상자입니다.Scroll to the top of the Permission Entry dialog box. 확인는 형식 드롭다운 목록이로 설정 되어 허용, 및는 에 적용 됩니다 드롭 다운 목록에서 이 개체만합니다.Ensure that the Type drop-down list is set to Allow, and in the Applies to drop-down list, select This object only.

  25. 권한을 필드를 선택한 모든 속성 읽기, 대 한 읽기 권한이, 및 암호 재설정합니다.In the Permissions field, select Read all properties, Read permissions, and Reset password.

    관리 계정 만들기

  26. 속성 필드를 선택한 userAccountControl 읽기userAccountControl 쓰기합니다.In the Properties field, select Read userAccountControl and Write userAccountControl.

  27. 클릭 확인, 확인 다시는 고급 보안 설정 대화 상자입니다.Click OK, OK again in the Advanced Security Settings dialog box.

    관리 계정 만들기

    참고

    userAccountControl 특성 여러 계정 구성 옵션을 제어 합니다.The userAccountControl attribute controls multiple account configuration options. 특성에 대 한 쓰기 권한을 부여 하는 경우 일부 구성 옵션을 변경할 수 있는 권한을 부여할 수 없습니다.You cannot grant permission to change only some of the configuration options when you grant write permission to the attribute.

  28. 그룹 또는 사용자 이름 필드는 보안 탭에서 액세스 계정을 관리 하거나 허용 되지 않은 모든 그룹을 제거 합니다.In the Group or user names field of the Security tab, remove any groups that should not be permitted to access or manage the account. Everyone 그룹 및 자체 계산 계정 등 Deny Ace를 사용 하 여 구성 된 모든 그룹을 제거 하지 마십시오 (해당 ACE 때 설정 된는 사용자 암호를 변경할 수 없음 플래그 계정 작성 하는 동안 활성화 되었습니다.Do not remove any groups that have been configured with Deny ACEs, such as the Everyone group and the SELF computed account (that ACE was set when the user cannot change password flag was enabled during creation of the account. 또한 방금 추가한 그룹, 시스템 계정 또는 EA, DA, BA, 또는 Windows Authorization Access Group 같은 그룹 제거 하지 마십시오.Also do not remove the group you just added, the SYSTEM account, or groups such as EA, DA, BA, or the Windows Authorization Access Group.

    관리 계정 만들기

  29. 클릭 고급 및 고급 보안 설정 대화 상자는 다음 스크린샷과 유사 표시 되는지 확인 합니다.Click Advanced and verify that the Advanced Security Settings dialog box looks similar to the following screenshot.

  30. 클릭 확인, 및 확인 다시 계정 속성 대화 상자를 닫습니다.Click OK, and OK again to close the account's property dialog box.

    관리 계정 만들기

  31. 첫 번째 관리 계정의 설치가 이제 완료 됩니다.Setup of the first management account is now complete. 이후 절차에서 계정을 테스트 합니다.You will test the account in a later procedure.

추가 관리 계정 만들기Creating Additional Management Accounts

이전 단계를 반복 하 여, 방금 만든 계정에 복사 하 여 또는 원하는 구성 설정을 사용 하 여 계정을 만들 수 있는 스크립트를 만들어 추가 관리 계정을 만들 수 있습니다.You can create additional management accounts by repeating the previous steps, by copying the account you just created, or by creating a script to create accounts with your desired configuration settings. 그러나 방금 만든 계정을 복사 하는 경우 새 계정으로 복사 되지 것입니다 다 수의 사용자 지정된 설정 및 Acl 및 대부분의 구성 단계를 반복 해야 note 합니다.Note, however, that if you copy the account you just created, many of the customized settings and ACLs will not be copied to the new account and you will have to repeat most of the configuration steps.

대신 채우고 unpopulate 보호 된 그룹에 대 한 권한을 위임할 수 있는 그룹을 만들지만 보안 그룹 및 계정에 배치 해야 합니다.You can instead create a group to which you delegate rights to populate and unpopulate protected groups, but you will need to secure the group and the accounts you place in it. 보호 그룹의 구성원을 관리 하는 기능을 허용 하는 매우 적은 계정을 디렉터리에 있을 것 때문에 개별 계정을 만드는 가장 간단한 방법은 수 있습니다.Because there should be very few accounts in your directory that are granted the ability to manage the membership of protected groups, creating individual accounts might be the simplest approach.

관리 계정의 넣을 있는 그룹을 만들려면 원하는 방법에 관계 없이 앞에서 설명한 대로 각 계정에 보안을 확인 해야 합니다.Regardless of how you choose to create a group into which you place the management accounts, you should ensure that each account is secured as described earlier. GPO의 제한 사항에 설명 된 것과 유사한 구현도 고려해 야 부록 d: 보안 기본 제공 관리자 계정에 Active Directory합니다.You should also consider implementing GPO restrictions similar to those described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

감사 관리 계정Auditing Management Accounts

최소한 계정에 대 한 모든 쓰기를 기록 하려면 계정에 대 한 감사를 구성 해야 합니다.You should configure auditing on the account to log, at minimum, all writes to the account. 이 성공적으로 계정을 사용 하도록 설정 하 고 권한이 부여 된 사용 중 하지만 식별 하는 데도 권한이 없는 사용자가 조작 하려고 계정 암호 재설정 식별 뿐만 아니라 수 있습니다.This will allow you to not only identify successful enabling of the account and resetting of its password during authorized uses, but to also identify attempts by unauthorized users to manipulate the account. 실패 한 쓰기는 계정에 보안 정보 및 이벤트 모니터링 SIEM () 시스템에 해당 하는 경우, 캡처하고 잠재적인 단점을 조사 하는 일을 담당 직원에 게 알림을 제공 하는 경고를 트리거해야 합니다.Failed writes on the account should be captured in your Security Information and Event Monitoring (SIEM) system (if applicable), and should trigger alerts that provide notification to the staff responsible for investigating potential compromises.

메뉴 및 도구 모음을 SIEM 솔루션 관련 된 보안 원본 (예를 들어: 이벤트 로그, 애플리케이션 데이터, 네트워크 스트림, 맬웨어 방지 제품 및 침입 검색 원본)에서 이벤트 정보를 가져올 데이터를 정렬할 지능형 보기와 자동 관리 작업을 확인 하려고 합니다.SIEM solutions take event information from involved security sources (for example, event logs, application data, network streams, antimalware products, and intrusion detection sources), collate the data, and try to make intelligent views and proactive actions. 많은 상용 SIEM 솔루션 이며 대부분의 기업에서는 개인 구현을 만듭니다.There are many commercial SIEM solutions, and many enterprises create private implementations. 보안 모니터링 및 문제 대응 기능 하도록 설계 되 고 적절 하 게 구현 된 SIEM 대폭 향상 시킬 수 있습니다.A well designed and appropriately implemented SIEM can significantly enhance security monitoring and incident response capabilities. 그러나 기능과 정확도 다릅니다 단시간 솔루션입니다.However, capabilities and accuracy vary tremendously between solutions. 이 문서의 범위를 벗어나는으로 SIEMs 하지만 모든 SIEM 구현자에 의해 포함 된 특정 이벤트 권장 사항을 고려해 야 합니다.SIEMs are beyond the scope of this paper, but the specific event recommendations contained should be considered by any SIEM implementer.

도메인 컨트롤러에 대 한 권장된 감사 구성 설정에 대 한 자세한 내용은 참조 손상의 기호에 대 한 Active Directory 모니터링합니다.For more information about recommended audit configuration settings for domain controllers, see Monitoring Active Directory for Signs of Compromise. 도메인 컨트롤러 관련 구성 설정에 제공 된 손상의 기호에 대 한 Active Directory 모니터링합니다.Domain controller-specific configuration settings are provided in Monitoring Active Directory for Signs of Compromise.

보호 되는 그룹의 멤버 자격을 수정 하는 관리 계정을 사용 하도록 설정Enabling Management Accounts to Modify the Membership of Protected Groups

이 절차에서는 새로 만든된 관리 계정이 도메인의 보호 된 그룹의 멤버 자격을 수정할 수 있도록 도메인의 AdminSDHolder 개체에 사용 권한을 구성 합니다.In this procedure, you will configure permissions on the domain's AdminSDHolder object to allow the newly created management accounts to modify the membership of protected groups in the domain. 이 절차는 그래픽 사용자 인터페이스 (GUI)를 통해 수행할 수 없습니다.This procedure cannot be performed via a graphical user interface (GUI).

에 설명 된 대로 부록 c: 보호 된 계정 및 Active Directory의 그룹, SDProp 작업이 실행 되 면 개체는 효과적으로 "복사" 하는 도메인의 AdminSDHolder에 대 한 ACL 개체를 보호 합니다.As discussed in Appendix C: Protected Accounts and Groups in Active Directory, the ACL on a domain's AdminSDHolder object is effectively "copied" to protected objects when the SDProp task runs. 보호 되는 그룹 및 계정에서에서 상속 하지 않는 사용 권한을 AdminSDHolder 개체입니다. AdminSDHolder 개체에 일치 하도록 해당 권한은 명시적으로 설정 합니다.Protected groups and accounts do not inherit their permissions from the AdminSDHolder object; their permissions are explicitly set to match those on the AdminSDHolder object. 따라서 AdminSDHolder 개체에 대 한 권한을 수정 하면 대상으로 하는 보호 된 개체의 형식에 적절 한 특성에 대 한 수정할 해야 있습니다.Therefore, when you modify permissions on the AdminSDHolder object, you must modify them for attributes that are appropriate to the type of the protected object you are targeting.

이 경우 있습니다 됩니다 수 부여에 새로 만든된 관리 계정을 읽기 위해 및 멤버 특성에 대 한 쓰기 그룹 개체를 허용 합니다.In this case, you will be granting the newly created management accounts to allow them to read and write the members attribute on group objects. 그러나 AdminSDHolder 개체 그룹 개체 아니며 그룹 특성 그래픽 ACL 편집기에 표시 되지 않습니다.However, the AdminSDHolder object is not a group object and group attributes are not exposed in the graphical ACL editor. Dsacls 명령줄 유틸리티를 통해 사용 권한 변경 내용을 구현 하는 이러한 이유 때문입니다.It is for this reason that you will implement the permissions changes via the Dsacls command-line utility. (사용 안 함된) 관리 계정 권한 보호 되는 그룹의 구성원 자격 수정에 부여 하려면 다음 단계를 수행 합니다.To grant the (disabled) management accounts permissions to modify the membership of protected groups, perform the following steps:

  1. 도메인 컨트롤러는 PDC 에뮬레이터 (PDCE) 역할 이루어졌습니다 DA 그룹의 멤버인 도메인 사용자 계정의 자격 증명으로 도메인 컨트롤러 가급적에 로그온 합니다.Log on to a domain controller, preferably the domain controller holding the PDC Emulator (PDCE) role, with the credentials of a user account that has been made a member of the DA group in the domain.

    관리 계정 만들기

  2. 관리자 권한 명령 프롬프트를 마우스 오른쪽 단추로 클릭 하 여 명령 프롬프트 클릭 관리자 권한으로 실행합니다.Open an elevated command prompt by right-clicking Command Prompt and click Run as administrator.

    관리 계정 만들기

  3. 권한 상승을 승인를 묻는 메시지가 나타나면 클릭 합니다.When prompted to approve the elevation, click Yes.

    관리 계정 만들기

    참고

    권한 상승 및 사용자 계정 컨트롤 (UAC) Windows에서에 대 한 자세한 내용은 참조 UAC 프로세스 및 상호 작용 TechNet 웹 사이트입니다.For more information about elevation and user account control (UAC) in Windows, see UAC Processes and Interactions on the TechNet website.

  4. 명령 프롬프트 (도메인 관련 정보로 대체) 하는 형식 Dsacls [사용자 도메인에 있는 AdminSDHolder 개체의 고유 이름] [관리 계정 UPN] /G: RPWP; 구성원합니다.At the Command Prompt, type (substituting your domain-specific information) Dsacls [distinguished name of the AdminSDHolder object in your domain] /G [management account UPN]:RPWP;member.

    관리 계정 만들기

    이전 명령 (대/소문자 구분 하지 않음)은 다음과 같습니다.The previous command (which is not case-sensitive) works as follows:

    • Dsacls 설정 하거나 Ace 디렉터리 개체에 표시 됩니다.Dsacls sets or displays ACEs on directory objects

    • CN AdminSDHolder, CN = System, DC = 명인 = msft 수정할 개체를 식별 합니다.CN=AdminSDHolder,CN=System,DC=TailSpinToys,DC=msft identifies the object to be modified

    • /G은 ACE 권한 부여 구성 되어 있는지 나타냅니다./G indicates that a grant ACE is being configured

    • PIM001@tailspintoys.msft Ace가 부여 될 보안 주체의 UPN (사용자 계정 이름)입니다.PIM001@tailspintoys.msft is the User Principal Name (UPN) of the security principal to which the ACEs will be granted

    • RPWP 부여 속성 읽기 및 쓰기 권한을 속성RPWP grants read property and write property permissions

    • 멤버의 이름인 속성 (특성)에 사용 권한을 설정할 수Member is the name of the property (attribute) on which the permissions will be set

    사용에 대 한 자세한 내용은 Dsacls, 명령 프롬프트에서 매개 변수 없이 Dsacls를 입력 합니다.For more information about use of Dsacls, type Dsacls without any parameters at a command prompt.

    도메인 관리 계정을 여러 개를 만든 경우 각 계정에 대해 Dsacls 명령을 실행 해야 합니다.If you have created multiple management accounts for the domain, you should run the Dsacls command for each account. AdminSDHolder 개체에서 ACL 구성을 완료 했으면, 실행 또는 예약 된 실행이 완료 될 때까지 대기 하도록 SDProp를 강제로 수행 해야 합니다.When you have completed the ACL configuration on the AdminSDHolder object, you should force SDProp to run, or wait until its scheduled run completes. 실행 하는 SDProp 강제 적용 하는 방법에 대 한 내용은 "실행 SDProp Manually"를 참조 부록 c: 보호 된 계정 및 Active Directory의 그룹합니다.For information about forcing SDProp to run, see "Running SDProp Manually" in Appendix C: Protected Accounts and Groups in Active Directory.

    SDProp이 실행 될 때 도메인의 보호 된 그룹에는 AdminSDHolder 개체에 대 한 변경 내용이 적용 된 것을 확인할 수 있습니다.When SDProp has run, you can verify that the changes you made to the AdminSDHolder object have been applied to protected groups in the domain. 앞에서 설명한 이유 때문에 AdminSDHolder 개체에 ACL을 확인 하 여이 확인할 수 없는 있지만 보호 된 그룹에 Acl을 확인 하 여 사용 권한이 적용 된 것을 확인할 수 있습니다.You cannot verify this by viewing the ACL on the AdminSDHolder object for the reasons previously described, but you can verify that the permissions have been applied by viewing the ACLs on protected groups.

  5. Active Directory 사용자 및 컴퓨터, 를 설정 했는지 확인 고급 기능합니다.In Active Directory Users and Computers, verify that you have enabled Advanced Features. 이렇게 하려면 클릭 보기, 를 찾아는 Domain Admins 그룹의 그룹을 마우스 오른쪽 단추로 클릭 하 고 클릭 속성합니다.To do so, click View, locate the Domain Admins group, right-click the group and click Properties.

  6. 클릭 된 보안 탭을 클릭 고급 를 열려면는 도메인 관리자에 대 한 고급 보안 설정 대화 상자.Click the Security tab and click Advanced to open the Advanced Security Settings for Domain Admins dialog box.

    관리 계정 만들기

  7. 선택 관리 계정에 대 한 ACE 허용 클릭 편집합니다.Select Allow ACE for the management account and click Edit. 해당 계정에만 부여 확인 읽기 구성원쓰기 구성원 DA 그룹과 클릭에 대 한 권한을 확인합니다.Verify that the account has been granted only Read Members and Write Members permissions on the DA group, and click OK.

  8. 클릭 확인고급 보안 설정 대화 상자를 클릭 하 고 확인 DA 그룹에 대 한 속성 대화 상자를 다시 합니다.Click OK in the Advanced Security Settings dialog box, and click OK again to close the property dialog box for the DA group.

    관리 계정 만들기

  9. 이전 단계를 반복 하 여 도메인;에서 보호 되는 다른 그룹에 대 한 사용 권한을 모든 보호 그룹에 대해 동일 해야 합니다.You can repeat the previous steps for other protected groups in the domain; the permissions should be the same for all protected groups. 이제이 도메인의 보호 된 그룹에 대 한 관리 계정의 생성 및 구성 완료 했습니다.You have now completed creation and configuration of the management accounts for the protected groups in this domain.

    참고

    그룹의 구성원이 Active Directory에 쓰기 권한이 있는 계정을 그룹에 자신을 추가할 수도 수 있습니다.Any account that has permission to write membership of a group in Active Directory can also add itself to the group. 이 동작은 의도적으로 설계 비활성화할 수 없습니다.This behavior is by design and cannot be disabled. 이러한 이유로 때 사용 중이 아님, 사용 하지 않도록 설정 하는 관리 계정을 항상 보존 해야와 밀접 하 게 모니터링 하는 계정 사용 안 함 하 고 사용 되기 합니다.For this reason, you should always keep management accounts disabled when not in use, and should closely monitor the accounts when they're disabled and when they're in use.

그룹 및 계정 구성 설정 확인Verifying Group and Account Configuration Settings

만들어졌으며 (포함 하는 가장 높은 권한이 필요한 EA, DA 및 BA 그룹)는 도메인의 보호 된 그룹의 멤버 자격을 수정할 수 있는 관리 계정 구성 했으므로 계정 및 해당 관리 그룹 만들어졌는지 제대로 확인 해야 합니다.Now that you have created and configured management accounts that can modify the membership of protected groups in the domain (which includes the most highly privileged EA, DA, and BA groups), you should verify that the accounts and their management group have been created properly. 확인이 일반 작업으로 이루어집니다.Verification consists of these general tasks:

  1. 테스트를 사용 하도록 설정 하 고 되었는지 확인 하 수 있는 그룹의 멤버를 사용 하도록 설정 하 고 계정을 사용할 수 없게 하 고 자신의 암호를 재설정할 관리 계정에서 다른 관리 작업을 수행할 수 없습니다 관리 계정을 사용 하지 않도록 설정할 수 있는 그룹입니다.Test the group that can enable and disable management accounts to verify that members of the group can enable and disable the accounts and reset their passwords, but cannot perform other administrative activities on the management accounts.

  2. 테스트를 추가할 수 및 멤버 제거는 도메인에서 그룹을 보호 하지만 보호 된 계정 및 그룹의 다른 속성을 변경할 수 없습니다 확인 하려면 관리 계정이 있습니다.Test the management accounts to verify that they can add and remove members to protected groups in the domain, but cannot change any other properties of protected accounts and groups.

테스트 그룹을 설정 하 고 관리 계정 사용 안 함Test the Group that Will Enable and Disable Management Accounts
  1. 관리 계정 사용 하도록 설정 하 고 해당 암호를 재설정를 테스트 하려면 워크스테이션에 로그온 한 보안 관리 그룹의 구성원 인 계정으로에서 만든 부록 i: 관리 계정 만들기 Active Directory의 보호 된 계정 및 그룹에 대 한합니다.To test enabling a management account and resetting its password, log on to a secure administrative workstation with an account that is a member of the group you created in Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory.

    관리 계정 만들기

  2. 열기 Active Directory 사용자 및 컴퓨터, 관리 계정을 마우스 오른쪽 단추로 클릭 하 고 클릭 계정 사용합니다.Open Active Directory Users and Computers, right-click the management account, and click Enable Account.

    관리 계정 만들기

  3. 계정이 설정 되어 있는지 확인 하는 대화 상자가 표시 됩니다.A dialog box should display, confirming that the account has been enabled.

    관리 계정 만들기

  4. 다음으로, 관리 계정에서 암호를 다시 설정 합니다.Next, reset the password on the management account. 이렇게 하려면 계정 다시 마우스 오른쪽 단추로 클릭 하 고 클릭 암호 재설정합니다.To do so, right-click the account again and click Reset Password.

    관리 계정 만들기

  5. 계정에 대 한 새 암호를 입력의 새 암호암호 확인 필드 및 클릭 확인합니다.Type a new password for the account in the New password and Confirm password fields, and click OK.

    관리 계정 만들기

  6. 계정의 암호 다시 설정 되었는지 확인 하는 대화 상자가 나타납니다.A dialog box should appear, confirming that the password for the account has been reset.

    관리 계정 만들기

  7. 이제 관리 계정의 추가 속성을 수정 하려고 합니다.Now attempt to modify additional properties of the management account. 계정을 마우스 오른쪽 단추로 클릭 하 고 클릭 속성, 를 클릭 하 고는 원격 제어 탭 합니다.Right-click the account and click Properties, and click the Remote control tab.

  8. 선택 원격 제어 사용 클릭 적용합니다.Select Enable remote control and click Apply. 작업 실패와 액세스가 거부 되었습니다. 오류 메시지가 표시 됩니다.The operation should fail and an Access Denied error message should display.

    관리 계정 만들기

  9. 클릭 된 계정 는 계정에 대 한 탭 하 고 계정의 이름, 로그온 시간 또는 로그온 워크스테이션을 변경 하려고 합니다.Click the Account tab for the account and attempt to change the account's name, logon hours, or logon workstations. 실패 하 고 계정 옵션을 통해 제어 되지 않으므로 해야 모든는 userAccountControl 특성 수정 하기 위해 사용할 수 없으며 흐리게 표시 해야 합니다.All should fail, and account options that are not controlled by the userAccountControl attribute should be grayed out and unavailable for modification.

    관리 계정 만들기

  10. DA 그룹과 같은 보호 그룹에 관리 그룹을 추가 하려고 했습니다.Attempt to add the management group to a protected group such as the DA group. 클릭할 때 확인, 그룹을 수정할 권한이 사용자에 게 알리는 메시지가 표시 됩니다.When you click OK, a message should appear, informing you that you do not have permissions to modify the group.

    관리 계정 만들기

  11. 구성할 수 없음을 아무 것도 제외 하 고 관리 계정에 확인 하는 데 필요한 만큼 추가 테스트를 수행 userAccountControl 설정 및 암호를 다시 설정 합니다.Perform additional tests as required to verify that you cannot configure anything on the management account except userAccountControl settings and password resets.

    참고

    userAccountControl 특성 여러 계정 구성 옵션을 제어 합니다.The userAccountControl attribute controls multiple account configuration options. 특성에 대 한 쓰기 권한을 부여 하는 경우 일부 구성 옵션을 변경할 수 있는 권한을 부여할 수 없습니다.You cannot grant permission to change only some of the configuration options when you grant write permission to the attribute.

테스트 관리 계정Test the Management Accounts

보호 그룹의 구성원을 변경할 수 있는 하나 이상의 계정을 사용 하도록 설정한 했으므로 계정을 확인은 보호 그룹 구성원 자격을 수정할 수 있지만 보호 된 계정 및 그룹에서 기타 수정 작업을 수행할 수 없습니다를 테스트할 수 있습니다.Now that you have enabled one or more accounts that can change the membership of protected groups, you can test the accounts to ensure that they can modify protected group membership, but cannot perform other modifications on protected accounts and groups.

  1. 보안 관리 호스트에 첫 번째 관리 계정으로 로그온 합니다.Log on to a secure administrative host as the first management account.

    관리 계정 만들기

  2. 시작 Active Directory 사용자 및 컴퓨터 찾아서는 Domain Admins 그룹합니다.Launch Active Directory Users and Computers and locate the Domain Admins group.

  3. 마우스 오른쪽 단추로 클릭는 Domain Admins 묶고 클릭 속성합니다.Right-click the Domain Admins group and click Properties.

    관리 계정 만들기

  4. 도메인 관리자 속성, 를 클릭 하는 멤버 탭 및 클릭 추가 합니다.In the Domain Admins Properties, click the Members tab and click Add. 임시 도메인 관리자 권한이 주어 집니다을 클릭 하는 계정의 이름을 입력 이름 확인합니다.Enter the name of an account that will be given temporary Domain Admins privileges and click Check Names. 계정 이름에 밑줄이 클릭 확인 돌아가려면는 멤버 탭 합니다.When the name of the account is underlined, click OK to return to the Members tab.

    관리 계정 만들기

  5. 멤버 탭을 도메인 관리자 속성 대화 상자를 클릭 하 여 적용합니다.On the Members tab for the Domain Admins Properties dialog box, click Apply. 클릭 한 후 적용, 계정 DA 그룹의 구성원 상태를 유지 해야 하 고 없음 오류 메시지를 받아야 합니다.After clicking Apply, the account should stay a member of the DA group and you should receive no error messages.

    관리 계정 만들기

  6. 클릭는 하 여 관리 되는 탭에 도메인 관리자 속성 대화 상자 모든 필드에 텍스트를 입력할 수 없는 모든 단추는 회색으로 확인 합니다.Click the Managed By tab in the Domain Admins Properties dialog box and verify that you cannot enter text in any fields and all buttons are grayed out.

    관리 계정 만들기

  7. 클릭 된 일반 탭에 도메인 관리자 속성 대화 상자의 해당 탭에 대 한 정보를 수정할 수 없음을 확인 합니다.Click the General tab in the Domain Admins Properties dialog box and verify that you cannot modify any of the information about that tab.

    관리 계정 만들기

  8. 필요에 따라 보호 되는 추가 그룹에 대해 이러한 단계를 반복 합니다.Repeat these steps for additional protected groups as needed. 완료 되 면 로그 설정 및 관리 계정을 사용 하지 않도록 설정 하기 위해 만든 보안 관리 호스트 그룹의 구성원 인 계정으로 로그온 합니다.When you have finished, log on to a secure administrative host with an account that is a member of the group you created to enable and disable the management accounts. 그런 다음 방금 테스트 하 고 계정을 사용 하지 않도록 설정 하는 관리 계정에 암호를 다시 설정 합니다.Then reset the password on the management account you just tested and disable the account. 관리 계정 및 그룹 계정을 설정 하거나 해제 하는 일을 담당 될의 설치를 완료 했습니다.You have completed setup of the management accounts and the group that will be responsible for enabling and disabling the accounts.