부록 G: Active Directory에서 Administrators 그룹 보안Appendix G: Securing Administrators Groups in Active Directory

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

부록 G: Active Directory에서 Administrators 그룹 보안Appendix G: Securing Administrators Groups in Active Directory

EA (Enterprise Admins) 및 DA (Domain Admins) 그룹의 경우와 마찬가지로 기본 제공 관리자 (BA) 그룹의 멤버 자격은 빌드 또는 재해 복구 시나리오 에서만 필요 합니다.As is the case with the Enterprise Admins (EA) and Domain Admins (DA) groups, membership in the built-in Administrators (BA) group should be required only in build or disaster recovery scenarios. 부록 D: 보안 기본 제공 관리자 계정 Active Directory의 설명에 따라 보안이 설정 된 경우 도메인에 대 한 기본 제공 관리자 계정을 제외 하 고 Administrators 그룹에는 일상적인 사용자 계정이 없어야 합니다.There should be no day-to-day user accounts in the Administrators group with the exception of the Built-in Administrator account for the domain, if it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

관리자는 기본적으로 대부분의 각 도메인의 AD DS 개체의 소유자입니다.Administrators are, by default, the owners of most of the AD DS objects in their respective domains. 이 그룹의 멤버 자격은 소유권 또는 개체의 소유권을 획득 하는 기능이 필요한 빌드 또는 재해 복구 시나리오에 필요할 수 있습니다.Membership in this group may be required in build or disaster recovery scenarios in which ownership or the ability to take ownership of objects is required. 또한 DAs 및 EAs에는 다양 한 해당 권한 및 관리자 그룹의 해당 기본 멤버 자격을 통해 권한을 상속합니다.Additionally, DAs and EAs inherit a number of their rights and permissions by virtue of their default membership in the Administrators group. Active Directory의 권한 있는 그룹에 대 한 기본 그룹 중첩은 수정할 수 없으며, 각 도메인의 관리자 그룹은 다음에 나오는 단계별 지침에 설명 된 대로 보안을 설정 해야 합니다.Default group nesting for privileged groups in Active Directory should not be modified, and each domain's Administrators group should be secured as described in the step-by-step instructions that follow.

포리스트의 각 도메인에 있는 관리자 그룹의 경우:For the Administrators group in each domain in the forest:

  1. 부록 D: 보안 기본 제공 관리자 계정 Active Directory의 설명에 따라 보안이 설정 된 경우 도메인에 대 한 기본 제공 관리자 계정을 제외 하 고 Administrators 그룹에서 모든 구성원을 제거 합니다.Remove all members from the Administrators group, with the possible exception of the built-in Administrator account for the domain, provided it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

  2. 각 도메인의 구성원 서버 및 워크스테이션을 포함 하는 Ou에 연결 된 Gpo에서는 컴퓨터 Configuration\Policies\Windows 설정 \ 사용자 권한 할당의 다음 사용자 권한에 BA 그룹을 추가 해야 합니다.In GPOs linked to OUs containing member servers and workstations in each domain, the BA group should be added to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\ User Rights Assignment:

    • 네트워크에서 이 컴퓨터 액세스 거부Deny access to this computer from the network

    • 일괄 작업으로 로그온 거부Deny log on as a batch job

    • 서비스로 로그온 거부Deny log on as a service

  3. 포리스트의 각 도메인에 있는 도메인 컨트롤러 OU에서 Administrators 그룹에는 다음 사용자 권한이 부여 되어야 합니다.At the domain controllers OU in each domain in the forest, the Administrators group should be granted the following user rights:

    • 네트워크에서 이 컴퓨터 액세스Access this computer from the network

    • 로컬 로그온 허용Allow log on locally

    • 원격 데스크톱 서비스를 통한 로그온 허용Allow log on through Remote Desktop Services

  4. 감사 관리자 그룹의 구성원 또는 속성을 수정한 경우 경고를 보내도록 구성 되어야 합니다.Auditing should be configured to send alerts if any modifications are made to the properties or membership of the Administrators group.

관리자 그룹에서 모든 구성원을 제거 하는 방법에 대 한 단계별 지침Step-by-Step Instructions for Removing All Members from the Administrators Group

  1. 서버 관리자에서 도구를 클릭 하 Active Directory 사용자 및 컴퓨터를 클릭 합니다.In Server Manager, click Tools, and click Active Directory Users and Computers.

  2. 관리자 그룹에서 모든 구성원을 제거 하려면 다음 단계를 수행 합니다.To remove all members from the Administrators group, perform the following steps:

    1. 관리자 그룹을 두 번 클릭 하 고 구성원 탭을 클릭 합니다.Double-click the Administrators group and click the Members tab.

      보안 관리 그룹

    2. 그룹의 구성원을 선택 하 고 제거, 를 차례로 클릭 한 다음 확인을 클릭 합니다.Select a member of the group, click Remove, click Yes, and click OK.

  3. 관리자 그룹의 모든 구성원이 제거 될 때까지 2 단계를 반복 합니다.Repeat step 2 until all members of the Administrators group have been removed.

Active Directory에서 관리자 그룹을 보호 하는 단계별 지침Step-by-Step Instructions to Secure Administrators Groups in Active Directory

  1. 서버 관리자에서 도구를 클릭 하 그룹 정책 관리를 클릭 합니다.In Server Manager, click Tools, and click Group Policy Management.

  2. 콘솔 트리에서 < 포리스트 > \ 도메인 도메인을 확장 한 \ < > 다음 개체를 그룹 정책 < 합니다. 여기서 forest는 > 포리스트의 이름이 고 < 도메인 > 은 그룹 정책를 설정 하려는 도메인의 이름입니다.In the console tree, expand <Forest>\Domains\<Domain>, and then Group Policy Objects (where <Forest> is the name of the forest and <Domain> is the name of the domain where you want to set the Group Policy).

  3. 콘솔 트리에서 그룹 정책 개체를 마우스 오른쪽 단추로 클릭 하 고 새로 만들기를 클릭 합니다.In the console tree, right-click Group Policy Objects, and click New.

    보안 관리 그룹

  4. 새 gpo 대화 상자에서 를 입력 하 고 확인 을 클릭 합니다. 여기서 gpo 이름 은이 GPO의 이름입니다.In the New GPO dialog box, type , and click OK (where GPO Name is the name of this GPO).

    보안 관리 그룹

  5. 세부 정보 창에서를 마우스 오른쪽 단추로 클릭 하 편집을 클릭 합니다.In the details pane, right-click , and click Edit.

  6. Computer Configuration\Policies\Windows 설정 \ 로컬 정책으로 이동 하 고 사용자 권한 할당을 클릭 합니다.Navigate to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies, and click User Rights Assignment.

    보안 관리 그룹

  7. 다음을 수행 하 여 Administrators 그룹의 구성원이 네트워크를 통해 구성원 서버 및 워크스테이션에 액세스 하지 못하도록 사용자 권한을 구성 합니다.Configure the user rights to prevent members of the Administrators group from accessing member servers and workstations over the network by doing the following:

    1. 네트워크에서이 컴퓨터 액세스 거부 를 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Deny access to this computer from the network and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 관리자를 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type Administrators, click Check Names, and click OK.

      보안 관리 그룹

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  8. 다음을 수행 하 여 Administrators 그룹의 멤버가 일괄 작업으로 로그온 하지 못하도록 사용자 권한을 구성 합니다.Configure the user rights to prevent members of the Administrators group from logging on as a batch job by doing the following:

    1. 일괄 작업으로 로그온 거부 를 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Deny log on as a batch job and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 관리자를 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type Administrators, click Check Names, and click OK.

      보안 관리 그룹

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  9. 관리자 그룹의 구성원이 다음을 수행 하 여 서비스로 로그온 하지 못하도록 사용자 권한을 구성 합니다.Configure the user rights to prevent members of the Administrators group from logging on as a service by doing the following:

    1. 서비스로 로그온 거부 를 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Deny log on as a service and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 관리자를 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type Administrators, click Check Names, and click OK.

      보안 관리 그룹

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  10. 그룹 정책 관리 편집기종료 하려면 파일을 클릭 한 다음 끝내기를 클릭 합니다.To exit Group Policy Management Editor, click File, and click Exit.

  11. 그룹 정책 관리에서 다음을 수행 하 여 GPO를 구성원 서버 및 워크스테이션 ou에 연결 합니다.In Group Policy Management, link the GPO to the member server and workstation OUs by doing the following:

    1. <포리스트 >> \Domains 도메인으로 이동 합니다 \ < > . 여기서 < forest는 > 포리스트의 이름이 고 < 도메인 > 은 그룹 정책를 설정 하려는 도메인의 이름입니다.Navigate to the <Forest>>\Domains\<Domain> (where <Forest> is the name of the forest and <Domain> is the name of the domain where you want to set the Group Policy).

    2. GPO가 적용 될 OU를 마우스 오른쪽 단추로 클릭 하 고 기존 Gpo 연결을 클릭 합니다.Right-click the OU that the GPO will be applied to and click Link an existing GPO.

      보안 관리 그룹

    3. 방금 만든 GPO를 선택 하 고 확인을클릭 합니다.Select the GPO that you just created and click OK.

      보안 관리 그룹

    4. 워크스테이션을 포함 하는 다른 모든 Ou에 대 한 링크를 만듭니다.Create links to all other OUs that contain workstations.

    5. 구성원 서버가 포함 된 다른 모든 Ou에 대 한 링크를 만듭니다.Create links to all other OUs that contain member servers.

      중요

      도메인 컨트롤러를 관리 하는 데 점프 서버를 사용 하 고 Active Directory 하는 경우 점프 서버가이 Gpo가 연결 되지 않은 OU에 있어야 합니다.If jump servers are used to administer domain controllers and Active Directory, ensure that jump servers are located in an OU to which this GPOs is not linked.

      참고

      Gpo의 Administrators 그룹에 제한 사항이 구현 하는 경우 Windows 도메인의 관리자 그룹 외에도 컴퓨터의 로컬 관리자 그룹의 구성원에 게 설정을 적용 합니다.When you implement restrictions on the Administrators group in GPOs, Windows applies the settings to members of a computer's local Administrators group in addition to the domain's Administrators group. 따라서 관리자 그룹에서 제한을 구현할 때 주의 해야 합니다.Therefore, you should use caution when implementing restrictions in the Administrators group. Administrators 그룹의 구성원에 대 한 네트워크, 일괄 처리 및 서비스 로그온은 구현할 수 있는 모든 위치에 권장 되지만, 원격 데스크톱 서비스을 통해 로컬 로그온 또는 로그온을 제한 하지 않습니다.Although prohibiting network, batch, and service logons for members of the Administrators group is advised wherever it is feasible to implement, do not restrict local logons or logons through Remote Desktop Services. 이러한 로그온 유형은 차단 로컬 관리자 그룹의 구성원으로 컴퓨터의 합법적인 관리를 차단할 수 있습니다.Blocking these logon types can block legitimate administration of a computer by members of the local Administrators group.

      다음 스크린샷은 기본 제공 로컬 또는 도메인 관리자 그룹의 오용 외에도 기본 제공 로컬 및 도메인 관리자 계정의 오용을 차단 하는 구성 설정을 보여 줍니다.The following screen shot shows configuration settings that block misuse of built-in local and domain Administrator accounts, in addition to misuse of built-in local or domain Administrators groups. 이때는 원격 데스크톱 서비스를 통한 로그온 거부 사용자 권한을 포함 하 여이 설정에는 로컬 컴퓨터의 Administrators 그룹의 구성원 인 계정에 대 한 이러한 로그온 차단도 하기 때문에 관리자 그룹 포함 되지 않습니다.Note that the Deny log on through Remote Desktop Services user right does not include the Administrators group, because including it in this setting would also block these logons for accounts that are members of the local computer's Administrators group. 컴퓨터의 서비스가이 섹션에 설명 된 권한 있는 그룹의 컨텍스트에서 실행 되도록 구성 된 경우 이러한 설정을 구현 하면 서비스와 응용 프로그램에 오류가 발생할 수 있습니다.If services on computers are configured to run in the context of any of the privileged groups described in this section, implementing these settings can cause services and applications to fail. 따라서이 섹션에서 권장 하는 모든와 마찬가지로 철저히 테스트 해야 적용 가능성에 대 한 설정을 사용자 환경에서.Therefore, as with all of the recommendations in this section, you should thoroughly test settings for applicability in your environment.

      보안 관리 그룹

관리자 그룹에 사용자 권한을 부여 하는 단계별 지침Step-by-Step Instructions to Grant User Rights to the Administrators Group

  1. 서버 관리자에서 도구를 클릭 하 그룹 정책 관리를 클릭 합니다.In Server Manager, click Tools, and click Group Policy Management.

  2. 콘솔 트리에서 \Domains를 확장 한 \ 다음 개체를 그룹 정책 합니다. 여기서은 포리스트 이름이 고는 그룹 정책를 설정 하려는 도메인의 이름입니다.In the console tree, expand \Domains\, and then Group Policy Objects (where is the name of the forest and is the name of the domain where you want to set the Group Policy).

  3. 콘솔 트리에서 그룹 정책 개체를 마우스 오른쪽 단추로 클릭 하 고 새로 만들기를 클릭 합니다.In the console tree, right-click Group Policy Objects, and click New.

    보안 관리 그룹

  4. 새 gpo 대화 상자에서 를 입력 하 고 확인 을 클릭 합니다. 여기서은이 GPO의 이름입니다.In the New GPO dialog box, type , and click OK (where is the name of this GPO).

    보안 관리 그룹

  5. 세부 정보 창에서를 마우스 오른쪽 단추로 클릭 하 편집을 클릭 합니다.In the details pane, right-click , and click Edit.

  6. Computer Configuration\Policies\Windows 설정 \ 로컬 정책으로 이동 하 고 사용자 권한 할당을 클릭 합니다.Navigate to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies, and click User Rights Assignment.

    보안 관리 그룹

  7. 다음을 수행 하 여 Administrators 그룹의 구성원이 네트워크를 통해 도메인 컨트롤러에 액세스할 수 있도록 사용자 권한을 구성 합니다.Configure the user rights to allow members of the Administrators group to access domain controllers over the network by doing the following:

    1. 네트워크에서이 컴퓨터 액세스를 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Access to this computer from the network and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

      보안 관리 그룹

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  8. 다음을 수행 하 여 Administrators 그룹의 구성원이 로컬로 로그온 할 수 있도록 사용자 권한을 구성 합니다.Configure the user rights to allow members of the Administrators group to log on locally by doing the following:

    1. 로컬 로그온 허용 을 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Allow log on locally and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 관리자를 입력 하 고 이름확인을 클릭 한 다음 확인을 클릭 합니다.Type Administrators, click Check Names, and click OK.

      보안 관리 그룹

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  9. 다음을 수행 하 여 Administrators 그룹의 구성원이 원격 데스크톱 서비스를 통해 로그온 할 수 있도록 사용자 권한을 구성 합니다.Configure the user rights to allow members of the Administrators group to log on through Remote Desktop Services by doing the following:

    1. 원격 데스크톱 서비스를 통한 로그온 허용 을 두 번 클릭 하 고 다음 정책 설정 정의를 선택 합니다.Double-click Allow log on through Remote Desktop Services and select Define these policy settings.

    2. 사용자 또는 그룹 추가 를 클릭 하 고 찾아보기를 클릭 합니다.Click Add User or Group and click Browse.

    3. 관리자를 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type Administrators, click Check Names, and click OK.

      보안 관리 그룹

    4. 확인을 클릭 하 고 다시 확인 을 클릭 합니다.Click OK, and OK again.

  10. 그룹 정책 관리 편집기종료 하려면 파일을 클릭 한 다음 끝내기를 클릭 합니다.To exit Group Policy Management Editor, click File, and click Exit.

  11. 그룹 정책 관리에서 다음을 수행 하 여 GPO를 도메인 컨트롤러 OU에 연결 합니다.In Group Policy Management, link the GPO to the domain controllers OU by doing the following:

    1. \Domains로 이동 \ 합니다. 여기서은 포리스트 이름이 고은 그룹 정책를 설정 하려는 도메인의 이름입니다.Navigate to the \Domains\ (where is the name of the forest and is the name of the domain where you want to set the Group Policy).

    2. 도메인 컨트롤러 OU를 마우스 오른쪽 단추로 클릭 하 고 기존 GPO 연결을 클릭 합니다.Right-click the domain controllers OU and click Link an existing GPO.

      보안 관리 그룹

    3. 방금 만든 GPO를 선택 하 고 확인을클릭 합니다.Select the GPO that you just created and click OK.

      보안 관리 그룹

확인 단계Verification Steps

"네트워크에서이 컴퓨터 액세스 거부" GPO 설정 확인Verify "Deny access to this computer from the network" GPO Settings

GPO 변경의 영향을 받지 않는 구성원 서버 또는 워크스테이션 (예: "점프 서버")에서 GPO 변경의 영향을 받는 네트워크를 통해 구성원 서버 또는 워크스테이션에 액세스를 시도 합니다.From any member server or workstation that is not affected by the GPO changes (such as a "jump server"), attempt to access a member server or workstation over the network that is affected by the GPO changes. GPO 설정을 확인 하려면 NET use 명령을 사용 하 여 시스템 드라이브를 매핑하려고 시도 합니다.To verify the GPO settings, attempt to map the system drive by using the NET USE command.

  1. Administrators 그룹의 구성원 인 계정을 사용 하 여 로컬로 로그온 합니다.Log on locally using an account that is a member of the Administrators group.

  2. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  3. 검색 상자에서 명령 프롬프트를 입력 하 고 명령 프롬프트를 마우스 오른쪽 단추로 클릭 한 다음 관리자 권한으로 실행 을 클릭 하 여 관리자 권한 명령 프롬프트를 엽니다.In the Search box, type command prompt, right-click Command Prompt, and then click Run as administrator to open an elevated command prompt.

  4. 권한 상승을 승인를 묻는 메시지가 나타나면 클릭 합니다.When prompted to approve the elevation, click Yes.

    보안 관리 그룹

  5. 명령 프롬프트 창에서 net use \ \ <Server Name> \c $ 를 입력 합니다. 여기서 <Server Name> 은 네트워크를 통해 액세스 하려는 구성원 서버 또는 워크스테이션의 이름입니다.In the Command Prompt window, type net use \\<Server Name>\c$, where <Server Name> is the name of the member server or workstation you're attempting to access over the network.

  6. 다음 스크린샷은 표시 되어야 하는 오류 메시지를 보여 줍니다.The following screen shot shows the error message that should appear.

    보안 관리 그룹

"일괄 작업으로 로그온 거부" GPO 설정 확인Verify "Deny log on as a batch job" GPO Settings

GPO 변경의 영향을 받는 모든 구성원 서버 또는 워크스테이션에서 로컬로 로그온 합니다.From any member server or workstation affected by the GPO changes, log on locally.

배치 파일 만들기Create a Batch File
  1. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  2. 검색 상자에 notepad를 입력 하 고 notepad를 클릭 합니다.In the Search box, type notepad, and click Notepad.

  3. 메모장에서 dir c: 를 입력 합니다.In Notepad, type dir c:.

  4. 파일을 클릭 하 고 다른 이름으로 저장을 클릭 합니다.Click File, and click Save As.

  5. 파일 이름 필드에 ** .bat** 를 입력 합니다. 여기서 은 새 배치 파일의 이름입니다.In the File name field, type .bat (where is the name of the new batch file).

작업 예약Schedule a Task
  1. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  2. 검색 상자에 작업 스케줄러를 입력 하 고 작업 스케줄러를 클릭 합니다.In the Search box, type task scheduler, and click Task Scheduler.

    참고

    Windows 8을 실행 하는 컴퓨터의 검색 상자에 일정 작업을 입력 하 고 작업 예약을 클릭 합니다.On computers running Windows 8, in the Search box, type schedule tasks, and click Schedule tasks.

  3. 작업을 클릭 하 고 작업 만들기를 클릭 합니다.Click Action, and click Create Task.

  4. 작업 만들기 대화 상자에서를 입력 합니다. 여기서은 새 작업의 이름입니다.In the Create Task dialog box, type (where is the name of the new task).

  5. 작업 탭을 클릭 하 고 새로 만들기를 클릭 합니다.Click the Actions tab, and click New.

  6. 작업 필드에서 프로그램 시작을 선택 합니다.In the Action field, select Start a program.

  7. 프로그램/스크립트 필드에서 찾아보기를 클릭 하 고 배치 파일 만들기 섹션에서 만든 배치 파일을 찾아서 선택한 다음 열기를 클릭 합니다.In the Program/script field, click Browse, locate and select the batch file created in the Create a Batch File section, and click Open.

  8. 확인을 클릭합니다.Click OK.

  9. 일반 탭을 클릭합니다.Click the General tab.

  10. 보안 옵션 필드에서 사용자 또는 그룹 변경을 클릭 합니다.In the Security options field, click Change User or Group.

  11. Administrators 그룹의 구성원 인 계정의 이름을 입력 하 고 이름 확인을 클릭 한 다음 확인을 클릭 합니다.Type the name of an account that is a member of the Administrators group, click Check Names, and click OK.

  12. 사용자가 로그인 했는지 여부에 관계 없이 실행 을 선택 하 고 암호를 저장 하지않습니다.Select Run whether the user is logged onor not and Do not store password. 작업은 로컬 컴퓨터 리소스에만 액세스할 수 있습니다.The task will only have access to local computer resources.

  13. 확인을 클릭합니다.Click OK.

  14. 작업을 실행 하기 위한 사용자 계정 자격 증명을 요청 하는 대화 상자가 나타납니다.A dialog box should appear, requesting user account credentials to run the task.

  15. 암호를 입력 한 후 확인을 클릭 합니다.After entering the password, click OK.

  16. 다음과 유사한 대화 상자가 표시 됩니다.A dialog box similar to the following should appear.

    보안 관리 그룹

"서비스로 로그온 거부" GPO 설정 확인Verify "Deny log on as a service" GPO Settings
  1. GPO 변경의 영향을 받는 모든 구성원 서버 또는 워크스테이션에서 로컬로 로그온 합니다.From any member server or workstation affected by the GPO changes, log on locally.

  2. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  3. 검색 상자에 서비스를 입력 하 고 서비스를 클릭 합니다.In the Search box, type services, and click Services.

  4. 인쇄 스풀러를 찾아 두 번 클릭 합니다.Locate and double-click Print Spooler.

  5. 로그온 탭을 클릭합니다.Click the Log On tab.

  6. 다음 으로 로그온 필드에서 이 계정을선택 합니다.In the Log on as field, select This account.

  7. 찾아보기를 클릭 하 고 Administrators 그룹의 구성원 인 계정의 이름을 입력 한 다음 이름 확인을 클릭 하 고 확인을 클릭 합니다.Click Browse, type the name of an account that is a member of the Administrators group, click Check Names, and click OK.

  8. 암호암호 확인 필드에 선택한 계정의 암호를 입력 하 고 확인을 클릭 합니다.In the Password and Confirm password fields, type the selected account's password, and click OK.

  9. 확인을 세 번 더 클릭 합니다.Click OK three more times.

  10. 인쇄 스풀러 를 마우스 오른쪽 단추로 클릭 하 고 다시 시작을 클릭 합니다.Right-click Print Spooler and click Restart.

  11. 서비스가 다시 시작 되 면 다음과 유사한 대화 상자가 나타납니다.When the service is restarted, a dialog box similar to the following should appear.

    보안 관리 그룹

프린터 스풀러 서비스로 변경 내용 되돌리기Revert Changes to the Printer Spooler Service
  1. GPO 변경의 영향을 받는 모든 구성원 서버 또는 워크스테이션에서 로컬로 로그온 합니다.From any member server or workstation affected by the GPO changes, log on locally.

  2. 마우스를 사용 하 여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동 합니다.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. 참 메뉴 막대가 표시 되 면 검색을 클릭 합니다.When the Charms bar appears, click Search.

  3. 검색 상자에 서비스를 입력 하 고 서비스를 클릭 합니다.In the Search box, type services, and click Services.

  4. 인쇄 스풀러를 찾아 두 번 클릭 합니다.Locate and double-click Print Spooler.

  5. 로그온 탭을 클릭합니다.Click the Log On tab.

  6. 다음 으로 로그온 필드에서 로컬 시스템 계정을 클릭 하 고 확인을 클릭 합니다.In the Log on as field, click Local System account, and click OK.