부록 D: Active Directory의 기본 제공 관리자 계정 보안Appendix D: Securing Built-In Administrator Accounts in Active Directory

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

부록 D: Active Directory의 기본 제공 관리자 계정 보안Appendix D: Securing Built-In Administrator Accounts in Active Directory

Active Directory의 각 도메인의 관리자 계정이 도메인의 만들기의 일부로 만들어집니다.In each domain in Active Directory, an Administrator account is created as part of the creation of the domain. 이 계정은 기본적으로 도메인에 있는 Domain Admins 및 Administrators 그룹의 구성원이 고, 도메인이 포리스트 루트 도메인 인 경우 계정도 Enterprise Admins 그룹의 구성원 이기도 합니다.This account is by default a member of the Domain Admins and Administrators groups in the domain, and if the domain is the forest root domain, the account is also a member of the Enterprise Admins group.

도메인의 관리자 계정 사용은 초기 빌드 작업 및 재해 복구 시나리오에 대해서만 예약 해야 합니다.Use of a domain's Administrator account should be reserved only for initial build activities, and possibly, disaster-recovery scenarios. 다른 계정을 사용할 수 없는 경우 관리자 계정을 사용 하 여 복구에 영향을 미칠 수 있도록 하려면 포리스트의 모든 도메인에서 관리자 계정의 기본 멤버 자격을 변경 하면 안 됩니다.To ensure that an Administrator account can be used to effect repairs in the event that no other accounts can be used, you should not change the default membership of the Administrator account in any domain in the forest. 대신, 다음 섹션에 설명 된 대로 포리스트의 각 도메인에서 관리자 계정을 보호 하 고 다음에 나오는 단계별 지침에 자세히 설명 합니다.Instead, you should secure the Administrator account in each domain in the forest as described in the following section and detailed in the step-by-step instructions that follow.

참고

이 가이드에서는 계정을 사용 하지 않도록 설정 하는 것이 좋습니다.This guide used to recommend disabling the account. 이는 포리스트 복구 백서에서 기본 관리자 계정을 사용 하기 때문에 제거 되었습니다.This was removed as the forest recovery white paper makes use of the default administrator account. 그 이유는 글로벌 카탈로그 서버 없이 로그온 할 수 있는 유일한 계정입니다.The reason is, this is the only account that allows logon without a Global Catalog Server.

기본 제공 관리자 계정에 대 한 컨트롤Controls for Built-in Administrator Accounts

포리스트의 각 도메인에 기본 제공 관리자 계정이 있는 경우 다음 설정을 구성 해야 합니다.For the built-in Administrator account in each domain in your forest, you should configure the following settings:

  • 계정이 중요 하 고 계정에 대 한 위임 플래그를 설정할 수 없습니다.Enable the Account is sensitive and cannot be delegated flag on the account.

  • 계정에 대 한 대화형 로그온 플래그에 스마트 카드 필요를 사용 하도록 설정 합니다.Enable the Smart card is required for interactive logon flag on the account.

  • 도메인에 가입 된 시스템에서 관리자 계정의 사용을 제한 하도록 Gpo를 구성 합니다.Configure GPOs to restrict the Administrator account's use on domain-joined systems:

    • 사용자가 만들고 각 도메인의 워크스테이션 및 구성원 서버 Ou에 연결 하는 하나 이상의 Gpo에서 각 도메인의 관리자 계정을 컴퓨터 Configuration\Policies\Windows 설정 \ 로컬 정책 \ 사용자 권한 할당의 다음 사용자 권한에 추가 합니다.In one or more GPOs that you create and link to workstation and member server OUs in each domain, add each domain's Administrator account to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:

      • 네트워크에서 이 컴퓨터 액세스 거부Deny access to this computer from the network

      • 일괄 작업으로 로그온 거부Deny log on as a batch job

      • 서비스로 로그온 거부Deny log on as a service

      • 원격 데스크톱 서비스를 통한 로그온 거부Deny log on through Remote Desktop Services

참고

이 설정에 계정을 추가 하는 경우 로컬 관리자 계정 또는 도메인 관리자 계정을 구성할 지 여부를 지정 해야 합니다.When you add accounts to this setting, you must specify whether you are configuring local Administrator accounts or domain Administrator accounts. 예를 들어 이러한 거부 권한에 NWTRADERS 도메인의 관리자 계정을 추가 하려면 계정을 NWTRADERS\Administrator로 입력 하거나 NWTRADERS 도메인에 대 한 관리자 계정으로 이동 해야 합니다.For example, to add the NWTRADERS domain's Administrator account to these deny rights, you must type the account as NWTRADERS\Administrator, or browse to the Administrator account for the NWTRADERS domain. 그룹 정책 개체 편집기의 이러한 사용자 권한 설정에 "관리자"를 입력 하는 경우 GPO가 적용 되는 각 컴퓨터에서 로컬 관리자 계정을 제한 합니다.If you type "Administrator" in these user rights settings in the Group Policy Object Editor, you will restrict the local Administrator account on each computer to which the GPO is applied.

구성원 서버 및 워크스테이션의 로컬 관리자 계정 도메인 기반 관리자 계정으로 같은 방식으로 제한 하는 것이 좋습니다.We recommend restricting local Administrator accounts on member servers and workstations in the same manner as domain-based Administrator accounts. 따라서 일반적으로 추가 해야 포리스트의 각 도메인에 대 한 관리자 계정 및 로컬 컴퓨터에 대 한 관리자 계정을 이러한 사용자 권한 설정 합니다.Therefore, you should generally add the Administrator account for each domain in the forest and the Administrator account for the local computers to these user rights settings. 다음 스크린 샷에서 로컬 관리자 계정 및 도메인의 관리자 계정에서 이러한 계정에 필요 하지 않습니다는 로그온을 수행을 차단 하도록 이러한 사용자 권한 구성 예를 보여줍니다.The following screenshot shows an example of configuring these user rights to block local Administrator accounts and a domain's Administrator account from performing logons that should not be needed for these accounts.

기본 제공 관리자 계정 보안

  • 도메인 컨트롤러에서 관리자 계정을 제한 하도록 Gpo 구성Configure GPOs to restrict Administrator accounts on domain controllers
    • 포리스트의 각 도메인에서 기본 도메인 컨트롤러 GPO 또는 도메인 컨트롤러 OU에 연결 된 정책을 수정 하 여 각 도메인의 관리자 계정을 Computer Configuration\Policies\Windows 설정 \ 로컬 정책 \ 사용자 권한 할당의 다음 사용자 권한에 추가 해야 합니다.In each domain in the forest, the Default Domain Controllers GPO or a policy linked to the domain controllers OU should be modified to add each domain's Administrator account to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:
      • 네트워크에서 이 컴퓨터 액세스 거부Deny access to this computer from the network

      • 일괄 작업으로 로그온 거부Deny log on as a batch job

      • 서비스로 로그온 거부Deny log on as a service

      • 원격 데스크톱 서비스를 통한 로그온 거부Deny log on through Remote Desktop Services

참고

이러한 설정은 도메인의 기본 제공 관리자 계정을 도메인 컨트롤러에 연결 하는 데 사용할 수 없도록 합니다. 계정 (사용 하도록 설정 된 경우)은 도메인 컨트롤러에 로컬로 로그온 할 수 있습니다.These settings will ensure that the domain's built-in Administrator account cannot be used to connect to a domain controller, although the account, if enabled, can log on locally to domain controllers. 이 계정은 해야만 사용 하도록 설정 되어 재해 복구 시나리오에서 사용을 하기 때문에 하나 이상의 도메인 컨트롤러에 대 한 실제 액세스 된 사용할 수는 또는 도메인 컨트롤러를 원격으로 액세스할 수 있는 권한이 있는 다른 계정을 사용할 수 있도록으로 예상 됩니다.Because this account should only be enabled and used in disaster-recovery scenarios, it is anticipated that physical access to at least one domain controller will be available, or that other accounts with permissions to access domain controllers remotely can be used.

  • 관리자 계정의 감사 구성Configure Auditing of Administrator Accounts

    각 도메인의 관리자 계정 보안을 한 옵션을 비활성화 하는 경우 계정에 대 한 변경 내용을 모니터링할 감사를 구성 해야 합니다.When you have secured each domain's Administrator account and disabled it, you should configure auditing to monitor for changes to the account. 계정을 사용 하는 경우 암호를 다시 설정 하거나 계정에 대 한 다른 수정 작업을 수행 하면 조직의 인시던트 대응 팀 외에도 Active Directory 관리를 담당 하는 사용자 또는 팀에 게 경고를 전송 해야 합니다.If the account is enabled, its password is reset, or any other modifications are made to the account, alerts should be sent to the users or teams responsible for administration of Active Directory, in addition to incident response teams in your organization.

Active Directory에서 기본 제공 관리자 계정을 보호 하는 단계별 지침Step-by-Step Instructions to Secure Built-in Administrator Accounts in Active Directory

  1. 서버 관리자에서 도구를 클릭 하 Active Directory 사용자 및 컴퓨터를 클릭 합니다.In Server Manager, click Tools, and click Active Directory Users and Computers.

  2. 위임을 활용 하 여 다른 시스템에서 계정의 자격 증명을 사용 하는 공격을 방지 하려면 다음 단계를 수행 합니다.To prevent attacks that leverage delegation to use the account's credentials on other systems, perform the following steps:

    1. 관리자 계정을 마우스 오른쪽 단추로 클릭 하 고 속성을 클릭 합니다.Right-click the Administrator account and click Properties.

    2. 계정 탭을 클릭합니다.Click the Account tab.

    3. 계정 옵션에서 다음 스크린샷에 표시 된 것 처럼 계정이 민감하여 위임할 수 없음 플래그를 선택 하 고 확인을 클릭 합니다.Under Account options, select Account is sensitive and cannot be delegated flag as indicated in the following screenshot, and click OK.

      기본 제공 관리자 계정 보안

  3. 계정에 대 한 대화형 로그온 플래그에 스마트 카드 필요 를 사용 하도록 설정 하려면 다음 단계를 수행 합니다.To enable the Smart card is required for interactive logon flag on the account, perform the following steps:

    1. 관리자 계정을 마우스 오른쪽 단추로 클릭 하 고 속성을 선택 합니다.Right-click the Administrator account and select Properties.

    2. 계정 탭을 클릭합니다.Click the Account tab.

    3. 계정 옵션에서 다음 스크린샷에 표시 된 것 처럼 대화형 로그온에 스마트 카드 필요 플래그를 선택 하 고 확인을 클릭 합니다.Under Account options, select the Smart card is required for interactive logon flag as indicated in the following screenshot, and click OK.

      기본 제공 관리자 계정 보안

도메인 수준에서 관리자 계정을 제한 하도록 Gpo 구성Configuring GPOs to Restrict Administrator Accounts at the Domain-Level

경고

이 GPO는 재해 복구 시나리오 에서도 기본 제공 관리자 계정을 사용할 수 없게 만들 수 있으므로 도메인 수준에서 연결 해서는 안 됩니다.This GPO should never be linked at the domain-level because it can make the built-in Administrator account unusable, even in disaster recovery scenarios.

  1. 서버 관리자에서 도구를 클릭 하 그룹 정책 관리를 클릭 합니다.In Server Manager, click Tools, and click Group Policy Management.

  2. 콘솔 트리에서 \Domains를 확장 한 \ 다음 개체를 그룹 정책 합니다. 여기서은 포리스트 이름이 고는 그룹 정책를 만들려는 도메인의 이름입니다.In the console tree, expand \Domains\, and then Group Policy Objects (where is the name of the forest and is the name of the domain where you want to create the Group Policy).

  3. 콘솔 트리에서 그룹 정책 개체를 마우스 오른쪽 단추로 클릭 하 고 새로 만들기를 클릭 합니다.In the console tree, right-click Group Policy Objects, and click New.

    기본 제공 관리자 계정 보안

  4. 새 gpo 대화 상자에서 를 입력 하 고 확인 을 클릭 합니다 . 여기서은 다음 스크린샷에 표시 된 것과 같습니다.In the New GPO dialog box, type , and click OK (where is the name of this GPO) as indicated in the following screenshot.

    기본 제공 관리자 계정 보안

  5. 세부 정보 창에서를 마우스 오른쪽 단추로 클릭 하 편집을 클릭 합니다.In the details pane, right-click , and click Edit.

  6. Computer Configuration\Policies\Windows 설정 \ 로컬 정책으로 이동 하 고 사용자 권한 할당을 클릭 합니다.Navigate to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies, and click User Rights Assignment.

    기본 제공 관리자 계정 보안

  7. 다음을 수행 하 여 관리자 계정이 네트워크를 통해 구성원 서버 및 워크스테이션에 액세스 하지 못하도록 사용자 권한을 구성 합니다.Configure the user rights to prevent the Administrator account from accessing members servers and workstations over the network by doing the following:

    1. 네트워크에서이 컴퓨터 액세스 거부 를 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Deny access to this computer from the network and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 관리자를 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type Administrator, click Check Names, and click OK. 다음 스크린샷에 표시 된 것 처럼 계정이 \Username 형식으로 표시 되는지 확인 합니다.Verify that the account is displayed in \Username format as indicated in the following screenshot.

      기본 제공 관리자 계정 보안

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  8. 다음을 수행 하 여 관리자 계정이 일괄 작업으로 로그온 하지 못하도록 사용자 권한을 구성 합니다.Configure the user rights to prevent the Administrator account from logging on as a batch job by doing the following:

    1. 일괄 작업으로 로그온 거부 를 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Deny log on as a batch job and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 관리자를 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type Administrator, click Check Names, and click OK. 다음 스크린샷에 표시 된 것 처럼 계정이 \Username 형식으로 표시 되는지 확인 합니다.Verify that the account is displayed in \Username format as indicated in the following screenshot.

      기본 제공 관리자 계정 보안

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  9. 다음을 수행 하 여 관리자 계정이 서비스로 로그온 하지 못하도록 사용자 권한을 구성 합니다.Configure the user rights to prevent the Administrator account from logging on as a service by doing the following:

    1. 서비스로 로그온 거부 를 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Deny log on as a service and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 관리자를 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type Administrator, click Check Names, and click OK. 다음 스크린샷에 표시 된 것 처럼 계정이 \Username 형식으로 표시 되는지 확인 합니다.Verify that the account is displayed in \Username format as indicated in the following screenshot.

      기본 제공 관리자 계정 보안

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  10. 다음을 수행 하 여 BA 계정이 원격 데스크톱 서비스 통해 구성원 서버 및 워크스테이션에 액세스 하지 못하도록 사용자 권한을 구성 합니다.Configure the user rights to prevent the BA account from accessing member servers and workstations via Remote Desktop Services by doing the following:

    1. 원격 데스크톱 서비스를 통한 로그온 거부 를 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Deny log on through Remote Desktop Services and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 관리자를 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type Administrator, click Check Names, and click OK. 다음 스크린샷에 표시 된 것 처럼 계정이 \Username 형식으로 표시 되는지 확인 합니다.Verify that the account is displayed in \Username format as indicated in the following screenshot.

      기본 제공 관리자 계정 보안

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  11. 그룹 정책 관리 편집기종료 하려면 파일을 클릭 한 다음 끝내기를 클릭 합니다.To exit Group Policy Management Editor, click File, and click Exit.

  12. 그룹 정책 관리에서 다음을 수행 하 여 GPO를 구성원 서버 및 워크스테이션 ou에 연결 합니다.In Group Policy Management, link the GPO to the member server and workstation OUs by doing the following:

    1. \Domains로 이동 \ 합니다. 여기서은 포리스트 이름이 고은 그룹 정책를 설정 하려는 도메인의 이름입니다.Navigate to the \Domains\ (where is the name of the forest and is the name of the domain where you want to set the Group Policy).

    2. GPO가 적용 될 OU를 마우스 오른쪽 단추로 클릭 하 고 기존 Gpo 연결을 클릭 합니다.Right-click the OU that the GPO will be applied to and click Link an existing GPO.

      기본 제공 관리자 계정 보안

    3. 만든 GPO를 선택 하 고 확인을클릭 합니다.Select the GPO that you created and click OK.

      기본 제공 관리자 계정 보안

    4. 워크스테이션을 포함 하는 다른 모든 Ou에 대 한 링크를 만듭니다.Create links to all other OUs that contain workstations.

    5. 구성원 서버가 포함 된 다른 모든 Ou에 대 한 링크를 만듭니다.Create links to all other OUs that contain member servers.

중요

이러한 설정에 관리자 계정을 추가 하는 경우 계정에 레이블을 지정 하는 방법으로 로컬 관리자 계정 또는 도메인 관리자 계정을 구성할 지 여부를 지정 합니다.When you add the Administrator account to these settings, you specify whether you are configuring a local Administrator account or a domain Administrator account by how you label the accounts. 예를 들어 이러한 거부 권한에 명인 도메인의 관리자 계정을 추가 하려면 TAILSPINTOYS\Administrator.로 표시 되는 명인 도메인에 대 한 관리자 계정을 찾습니다.For example, to add the TAILSPINTOYS domain's Administrator account to these deny rights, you would browse to the Administrator account for the TAILSPINTOYS domain, which would appear as TAILSPINTOYS\Administrator. 그룹 정책 개체 편집기의 이러한 사용자 권한 설정에 "관리자"를 입력 하는 경우 앞에서 설명한 대로 GPO가 적용 되는 각 컴퓨터에서 로컬 관리자 계정을 제한 합니다.If you type "Administrator" in these user rights settings in the Group Policy Object Editor, you will restrict the local Administrator account on each computer to which the GPO is applied, as described earlier.

확인 단계Verification Steps

여기에 설명 된 확인 단계는 Windows 8 및 Windows Server 2012에만 적용 됩니다.The verification steps outlined here are specific to Windows 8 and Windows Server 2012.

"대화형 로그온에 스마트 카드 필요" 계정 옵션 확인Verify "Smart card is required for interactive logon" Account Option
  1. GPO 변경의 영향을 받는 모든 구성원 서버 또는 워크스테이션에서 도메인의 기본 제공 관리자 계정을 사용 하 여 도메인에 대화형으로 로그온을 시도 합니다.From any member server or workstation affected by the GPO changes, attempt to log on interactively to the domain by using the domain's built-in Administrator account. 로그온을 시도한 후 다음과 유사한 대화 상자가 나타납니다.After attempting to log on, a dialog box similar to the following should appear.

기본 제공 관리자 계정 보안

"계정이 사용 하지 않도록 설정 됨" 계정 옵션 확인Verify "Account is disabled" Account Option
  1. GPO 변경의 영향을 받는 모든 구성원 서버 또는 워크스테이션에서 도메인의 기본 제공 관리자 계정을 사용 하 여 도메인에 대화형으로 로그온을 시도 합니다.From any member server or workstation affected by the GPO changes, attempt to log on interactively to the domain by using the domain's built-in Administrator account. 로그온을 시도한 후 다음과 유사한 대화 상자가 나타납니다.After attempting to log on, a dialog box similar to the following should appear.

기본 제공 관리자 계정 보안

"네트워크에서이 컴퓨터 액세스 거부" GPO 설정 확인Verify "Deny access to this computer from the network" GPO Settings

GPO 변경의 영향을 받지 않는 구성원 서버 또는 워크스테이션 (예: 점프 서버)에서 GPO 변경의 영향을 받는 네트워크를 통해 구성원 서버 또는 워크스테이션에 대 한 액세스를 시도 합니다.From any member server or workstation that is not affected by the GPO changes (such as a jump server), attempt to access a member server or workstation over the network that is affected by the GPO changes. GPO 설정을 확인 하려면 다음 단계를 수행 하 여 NET use 명령을 사용 하 여 시스템 드라이브를 매핑하려고 시도 합니다.To verify the GPO settings, attempt to map the system drive by using the NET USE command by performing the following steps:

  1. 도메인의 기본 제공 관리자 계정을 사용 하 여 도메인에 로그온 합니다.Log on to the domain using the domain's built-in Administrator account.

  2. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  3. 검색 상자에서 명령 프롬프트를 입력 하 고 명령 프롬프트를 마우스 오른쪽 단추로 클릭 한 다음 관리자 권한으로 실행 을 클릭 하 여 관리자 권한 명령 프롬프트를 엽니다.In the Search box, type command prompt, right-click Command Prompt, and then click Run as administrator to open an elevated command prompt.

  4. 권한 상승을 승인를 묻는 메시지가 나타나면 클릭 합니다.When prompted to approve the elevation, click Yes.

    기본 제공 관리자 계정 보안

  5. 명령 프롬프트 창에서 net use \ \ <Server Name> \c $ 를 입력 합니다. 여기서 <Server Name> 은 네트워크를 통해 액세스 하려는 구성원 서버 또는 워크스테이션의 이름입니다.In the Command Prompt window, type net use \\<Server Name>\c$, where <Server Name> is the name of the member server or workstation you are attempting to access over the network.

  6. 다음 스크린샷에서는 표시 되어야 하는 오류 메시지를 보여 줍니다.The following screenshot shows the error message that should appear.

    기본 제공 관리자 계정 보안

"일괄 작업으로 로그온 거부" GPO 설정 확인Verify "Deny log on as a batch job" GPO Settings

GPO 변경의 영향을 받는 모든 구성원 서버 또는 워크스테이션에서 로컬로 로그온 합니다.From any member server or workstation affected by the GPO changes, log on locally.

배치 파일 만들기Create a Batch File
  1. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  2. 검색 상자에 notepad를 입력 하 고 notepad를 클릭 합니다.In the Search box, type notepad, and click Notepad.

  3. 메모장에서 dir c: 를 입력 합니다.In Notepad, type dir c:.

  4. 파일 을 클릭 하 고 다른 이름으로 저장을 클릭 합니다.Click File and click Save As.

  5. 파일 이름 필드에 ** .bat** 를 입력 합니다. 여기서 은 새 배치 파일의 이름입니다.In the Filename field, type .bat (where is the name of the new batch file).

작업 예약Schedule a Task
  1. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  2. 검색 상자에 작업 스케줄러를 입력 하 고 작업 스케줄러를 클릭 합니다.In the Search box, type task scheduler, and click Task Scheduler.

    참고

    Windows 8을 실행 하는 컴퓨터의 검색 상자에 일정 작업을 입력 하 고 작업 예약을 클릭 합니다.On computers running Windows 8, in the Search box, type schedule tasks, and click Schedule tasks.

  3. 작업 스케줄러에서 작업을 클릭 하 고 작업 만들기를 클릭 합니다.On Task Scheduler, click Action, and click Create Task.

  4. 작업 만들기 대화 상자에서를 입력 합니다. 여기서은 새 작업의 이름입니다.In the Create Task dialog box, type (where is the name of the new task).

  5. 작업 탭을 클릭 하 고 새로 만들기를 클릭 합니다.Click the Actions tab, and click New.

  6. 작업: 에서 프로그램 시작을 선택 합니다.Under Action:, select Start a program.

  7. 프로그램/스크립트: 에서 찾아보기를 클릭 하 고 "배치 파일 만들기" 섹션에서 만든 배치 파일을 찾아서 선택한 다음 열기를 클릭 합니다.Under Program/script:, click Browse, locate and select the batch file created in the "Create a Batch File" section, and click Open.

  8. 확인을 클릭합니다.Click OK.

  9. 일반 탭을 클릭합니다.Click the General tab.

  10. 보안 옵션에서 사용자 또는 그룹 변경을 클릭 합니다.Under Security options, click Change User or Group.

  11. 도메인 수준에서 BA 계정의 이름을 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type the name of the BA account at the domain-level, click Check Names, and click OK.

  12. 사용자의 로그온 여부에 관계 없이 실행 을 선택 하 고 암호를 저장 하지않습니다.Select Run whether the user is logged on or not and Do not store password. 작업은 로컬 컴퓨터 리소스에만 액세스할 수 있습니다.The task will only have access to local computer resources.

  13. 확인을 클릭합니다.Click OK.

  14. 작업을 실행 하기 위한 사용자 계정 자격 증명을 요청 하는 대화 상자가 나타납니다.A dialog box should appear, requesting user account credentials to run the task.

  15. 자격 증명을 입력 한 후 확인을 클릭 합니다.After entering the credentials, click OK.

  16. 다음과 유사한 대화 상자가 표시 됩니다.A dialog box similar to the following should appear.

    기본 제공 관리자 계정 보안

"서비스로 로그온 거부" GPO 설정 확인Verify "Deny log on as a service" GPO Settings
  1. GPO 변경의 영향을 받는 모든 구성원 서버 또는 워크스테이션에서 로컬로 로그온 합니다.From any member server or workstation affected by the GPO changes, log on locally.

  2. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  3. 검색 상자에 서비스를 입력 하 고 서비스를 클릭 합니다.In the Search box, type services, and click Services.

  4. 인쇄 스풀러를 찾아 두 번 클릭 합니다.Locate and double-click Print Spooler.

  5. 로그온 탭을 클릭합니다.Click the Log On tab.

  6. 다음으로 로그온: 에서 이 계정을선택 합니다.Under Log on as:, select This account.

  7. 찾아보기를 클릭 하 고 도메인 수준에서 BA 계정 이름을 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Click Browse, type the name of the BA account at the domain-level, click Check Names, and click OK.

  8. 암호:암호 확인: 에서 관리자 계정의 암호를 입력 하 고 확인을 클릭 합니다.Under Password: and Confirm password:, type the Administrator account's password, and click OK.

  9. 확인을 세 번 더 클릭 합니다.Click OK three more times.

  10. 인쇄 스풀러 서비스 를 마우스 오른쪽 단추로 클릭 하 고 다시 시작을 선택 합니다.Right-click the Print Spooler service and select Restart.

  11. 서비스가 다시 시작 되 면 다음과 유사한 대화 상자가 나타납니다.When the service is restarted, a dialog box similar to the following should appear.

    기본 제공 관리자 계정 보안

프린터 스풀러 서비스로 변경 내용 되돌리기Revert Changes to the Printer Spooler Service
  1. GPO 변경의 영향을 받는 모든 구성원 서버 또는 워크스테이션에서 로컬로 로그온 합니다.From any member server or workstation affected by the GPO changes, log on locally.

  2. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  3. 검색 상자에 서비스를 입력 하 고 서비스를 클릭 합니다.In the Search box, type services, and click Services.

  4. 인쇄 스풀러를 찾아 두 번 클릭 합니다.Locate and double-click Print Spooler.

  5. 로그온 탭을 클릭합니다.Click the Log On tab.

  6. 다음으로 로그온: 에서 로컬 시스템 계정을 선택 하 고 확인을 클릭 합니다.Under Log on as:, select the Local System account, and click OK.

"원격 데스크톱 서비스를 통한 로그온 거부" GPO 설정 확인Verify "Deny log on through Remote Desktop Services" GPO Settings
  1. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  2. 검색 상자에 원격 데스크톱 연결을 입력 하 고 원격 데스크톱 연결를 클릭 합니다.In the Search box, type remote desktop connection, and click Remote Desktop Connection.

  3. 컴퓨터 필드에 연결 하려는 컴퓨터의 이름을 입력 하 고 연결을 클릭 합니다.In the Computer field, type the name of the computer that you want to connect to, and click Connect. (컴퓨터 이름 대신 IP 주소를 입력할 수도 있습니다.)(You can also type the IP address instead of the computer name.)

  4. 메시지가 표시 되 면 도메인 수준의 BA 계정 이름에 대 한 자격 증명을 제공 합니다.When prompted, provide credentials for the name of the BA account at the domain-level.

  5. 다음과 유사한 대화 상자가 표시 됩니다.A dialog box similar to the following should appear.

    기본 제공 관리자 계정 보안