부록 G: Active Directory에서 Administrators 그룹 보안

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

부록 G: Active Directory에서 Administrators 그룹 보안

EA(Enterprise 관리s) 및 DA(Do기본 관리s) 그룹의 경우와 마찬가지로 빌드 또는 재해 복구 시나리오에서만 기본 제공 BA(관리istrators) 그룹의 멤버 자격이 필요합니다. 부록 D: Active Directory의 기본 제공 관리istrator 계정 보안에 설명된 대로 보안이 설정된 경우 관리기본에 대한 기본 제공 관리istrator 계정을 제외하고 관리istrators 그룹에는 일상적인 사용자 계정이 없어야 합니다.

관리자는 기본적으로 대부분의 각 도메인의 AD DS 개체의 소유자입니다. 개체의 소유권 또는 소유권을 가져오는 기능이 필요한 빌드 또는 재해 복구 시나리오에서는 이 그룹의 멤버 자격이 필요할 수 있습니다. 또한 DAs 및 EAs에는 다양 한 해당 권한 및 관리자 그룹의 해당 기본 멤버 자격을 통해 권한을 상속합니다. Active Directory의 권한 있는 그룹에 대한 기본 그룹 중첩은 수정해서는 안 되며기본, 다음 단계별 지침에 설명된 대로 각 그룹의 관리istrators 그룹을 보호해야 합니다.

! 주의 이 문서에 설명된 단계는 프로덕션 환경에서 실행하기 전에 비프로덕션 환경에서 테스트해야 합니다.

포리스트의 각 do기본 관리istrators 그룹의 경우:

1. 부록 D: Active Directory의 기본 제공 관리istrator 계정 보호에 설명된 대로 보안이 유지된 경우 관리기본 대한 기본 제공 관리시스트레이터 계정을 제외하고 모든 멤버를 제거합니다.

2. 각 do기본 구성원 서버 및 워크스테이션을 포함하는 OU에 연결된 GPO에서 BA 그룹은 Computer Configuration\Policies\Windows 설정\Security 설정\Local Policies\ 사용자 권한 할당에서 다음 사용자 권한에 추가되어야 합니다.

   • 네트워크에서 이 컴퓨터 액세스 거부

   • 일괄 작업으로 로그온 거부

   • 서비스로 로그온 거부

3. 포리스트의 각 do기본 do기본 컨트롤러 OU에서 관리istrators 그룹에는 다음 사용자 권한이 부여되어야 합니다.

   • 네트워크에서 이 컴퓨터 액세스

   • 로컬 로그온 허용

   • 원격 데스크톱 서비스를 통한 로그온 허용

4. 감사 관리자 그룹의 구성원 또는 속성을 수정한 경우 경고를 보내도록 구성 되어야 합니다.

관리istrators 그룹에서 모든 멤버를 제거하기 위한 단계별 지침

1. 서버 관리자 도구를 클릭하고 Active Directory 사용자 및 컴퓨터 클릭합니다.

2. 관리istrators 그룹에서 모든 멤버를 제거하려면 다음 단계를 수행합니다.

   1. 관리istrators 그룹을 두 번 클릭하고 [구성원] 탭을 클릭합니다.

      

   2. 그룹의 구성원을 선택하고 제거, 예, 확인을 차례로 클릭합니다.

3. 관리istrators 그룹의 모든 멤버가 제거될 때까지 2단계를 반복합니다.

Active Directory에서 관리istrators 그룹을 보호하는 단계별 지침

1. 서버 관리자 도구를 클릭하고 그룹 정책 관리를 클릭합니다.

2. 콘솔 트리에서 Forest>\Do기본s\<Do기본>를 확장<한 다음 그룹 정책 개체(포<리스트>는 포리스트의 이름이고 <Do기본>는 그룹 정책을 설정할 do기본의 이름임).

3. 콘솔 트리에서 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭합니다.

   

4. 새 GPO 대화 상자에서 GPO 이름을> 입력<하고 확인을 클릭합니다(여기서 GPO 이름은 이 GPO의 이름임).

   

5. 세부 정보 창에서 GPO 이름을> 마우스 오른쪽 단추로 클릭하고 <편집을 클릭합니다.

6. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책으로 이동하고 사용자 권한 할당을 클릭합니다.

   

7. 다음을 수행하여 관리istrators 그룹의 구성원이 네트워크를 통해 멤버 서버 및 워크스테이션에 액세스하지 못하도록 사용자 권한을 구성합니다.

   1. 네트워크에서 이 컴퓨터에 대한 액세스 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

   2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

   3. 관리 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      

   4. 확인을 클릭하고 다시 확인합니다.

8. 다음을 수행하여 관리istrators 그룹의 멤버가 일괄 작업으로 로그온하지 못하도록 사용자 권한을 구성합니다.

   1. 일괄 작업으로 로그온 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

   2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

   3. 관리 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      

   4. 확인을 클릭하고 다시 확인합니다.

9. 다음을 수행하여 관리istrators 그룹의 구성원이 서비스로 로그온하지 못하도록 사용자 권한을 구성합니다.

   1. 서비스로 로그온 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

   2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

   3. 관리 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      

   4. 확인을 클릭하고 다시 확인합니다.

10. 그룹 정책 관리 편집기를 종료하려면 파일을 클릭하고 끝내기를 클릭합니다.

11. 그룹 정책 관리에서 다음을 수행하여 GPO를 멤버 서버 및 워크스테이션 OU에 연결합니다.

    1. <포리스트>>\Do기본s\<Do기본>(포<리스트>는 포리스트의 이름이고 <Do기본>는 그룹 정책을 설정할 do기본 이름)로 이동합니다.

    2. GPO가 적용될 OU를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결을 클릭합니다.

       

    3. 방금 만든 GPO를 선택하고 확인을 클릭합니다.

       

    4. 워크스테이션을 포함하는 다른 모든 OU에 대한 링크를 만듭니다.

    5. 멤버 서버를 포함하는 다른 모든 OU에 대한 링크를 만듭니다.

       Important

       점프 서버를 사용하여 do기본 컨트롤러 및 Active Directory를 관리하는 경우 점프 서버가 이 GPO가 연결되지 않은 OU에 있는지 확인합니다.

       참고 항목

       Gpo의 Administrators 그룹에 제한 사항이 구현 하는 경우 Windows 도메인의 관리자 그룹 외에도 컴퓨터의 로컬 관리자 그룹의 구성원에 게 설정을 적용 합니다. 따라서 관리istrators 그룹에서 제한을 구현할 때는 주의해야 합니다. 관리istrators 그룹의 구성원에 대한 네트워크, 일괄 처리 및 서비스 로그온을 금지하는 것이 좋지만, 구현이 가능한 경우 원격 데스크톱 서비스를 통해 로컬 로그온 또는 로그온을 제한하지 마세요. 이러한 로그온 유형은 차단 로컬 관리자 그룹의 구성원으로 컴퓨터의 합법적인 관리를 차단할 수 있습니다.

       기본 제공 로컬 또는 도메인 관리자 그룹의 오용 외에도 도메인 관리자 계정 및 다음 스크린 샷에서 구성 설정의 기본 제공 악용을 차단 하는 로컬 보여 줍니다. 이때는 원격 데스크톱 서비스를 통한 로그온 거부 사용자 권한을 포함 하 여이 설정에는 로컬 컴퓨터의 Administrators 그룹의 구성원 인 계정에 대 한 이러한 로그온 차단도 하기 때문에 관리자 그룹 포함 되지 않습니다. 컴퓨터의 서비스가 이 섹션에 설명된 권한 있는 그룹의 컨텍스트에서 실행되도록 구성된 경우 이러한 설정을 구현하면 서비스 및 애플리케이션이 실패할 수 있습니다. 따라서이 섹션에서 권장 하는 모든와 마찬가지로 철저히 테스트 해야 적용 가능성에 대 한 설정을 사용자 환경에서.

       

관리istrators 그룹에 사용자 권한을 부여하는 단계별 지침

1. 서버 관리자 도구를 클릭하고 그룹 정책 관리를 클릭합니다.

2. 콘솔 트리에서 Forest>\Do기본s\<Do기본>를 확장<한 다음 그룹 정책 개체(포<리스트>는 포리스트의 이름이고 <Do기본>는 그룹 정책을 설정할 do기본의 이름임).

3. 콘솔 트리에서 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭합니다.

   

4. 새 GPO 대화 상자에서 GPO 이름을> 입력<하고 확인을 클릭합니다(여기서 <GPO 이름은> 이 GPO의 이름임).

   

5. 세부 정보 창에서 GPO 이름을> 마우스 오른쪽 단추로 클릭하고 <편집을 클릭합니다.

6. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책으로 이동하고 사용자 권한 할당을 클릭합니다.

   

7. 다음을 수행하여 관리이스트래터 그룹의 구성원이 네트워크를 통해 do기본 컨트롤러에 액세스할 수 있도록 사용자 권한을 구성합니다.

   1. 네트워크에서 이 컴퓨터에 대한 액세스를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

   2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

   3. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

      

   4. 확인을 클릭하고 다시 확인합니다.

8. 다음을 수행하여 관리istrators 그룹의 구성원이 로컬로 로그온할 수 있도록 사용자 권한을 구성합니다.

   1. 로컬에서 로그온 허용을 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

   2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

   3. 관리 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      

   4. 확인을 클릭하고 다시 확인합니다.

9. 다음을 수행하여 관리istrators 그룹의 구성원이 원격 데스크톱 서비스를 통해 로그온할 수 있도록 사용자 권한을 구성합니다.

   1. 원격 데스크톱 서비스를 통해 로그온 허용을 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

   2. 사용자 또는 그룹 추가를 클릭하고 찾아보기를 클릭합니다.

   3. 관리 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      

   4. 확인을 클릭하고 다시 확인합니다.

10. 그룹 정책 관리 편집기를 종료하려면 파일을 클릭하고 끝내기를 클릭합니다.

11. 그룹 정책 관리에서 다음을 수행하여 GPO를 do기본 컨트롤러 OU에 연결합니다.

    1. <포리스트>\Do기본s\<Do기본>(포<리스트>는 포리스트의 이름이고 <Do기본>는 그룹 정책을 설정할 do기본 이름)로 이동합니다.

    2. do기본 컨트롤러 OU를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결을 클릭합니다.

       

    3. 방금 만든 GPO를 선택하고 확인을 클릭합니다.

       

확인 단계

"네트워크에서 이 컴퓨터에 대한 액세스 거부" GPO 설정 확인

GPO 변경 내용(예: "점프 서버")의 영향을 받지 않는 멤버 서버 또는 워크스테이션에서 GPO 변경의 영향을 받는 네트워크를 통해 멤버 서버 또는 워크스테이션에 액세스하려고 시도합니다. GPO 설정을 확인하려면 NET USE 명령을 사용하여 시스템 드라이브를 매핑합니다.

1. 관리istrators 그룹의 멤버인 계정을 사용하여 로컬로 로그온합니다.

2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

3. 검색 상자에 명령 프롬프트를 입력하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭하여 관리자 권한 명령 프롬프트를 엽니다.

4. 권한 상승을 승인를 묻는 메시지가 나타나면 클릭 예합니다.

   

5. 명령 프롬프트 창에서 net use \\<Server Name>\c$를 입력합니다. 여기서 <서버 이름은> 네트워크를 통해 액세스하려는 멤버 서버 또는 워크스테이션의 이름입니다.

6. 다음 스크린샷은 표시되어야 하는 오류 메시지를 보여줍니다.

   

GPO 설정 "일괄 작업으로 로그온 거부" 확인

GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

Batch 파일 만들기

1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

2. 검색 상자에 메모장을 입력하고 메모장 클릭합니다.

3. 메모장 dir c:를 입력합니다.

4. 파일을 클릭하고 다른 이름으로 저장을 클릭합니다.

5. 파일 이름 필드에 파일> 이름.bat(여기서 <Filename>은 새 일괄 처리 파일의 이름임)을 입력<합니다.

작업 예약

1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

2. 검색 상자에 작업 스케줄러를 입력하고 작업 스케줄러를 클릭합니다.

   참고 항목

   Windows 8을 실행하는 컴퓨터의 검색 상자에 일정 작업을 입력하고 작업 예약을 클릭합니다.

3. 작업을 클릭하고 작업 만들기를 클릭합니다.

4. 작업 만들기 대화 상자에서 작업 이름(작업 <이름은>> 새 작업의 이름)을 입력<합니다.

5. 작업 탭을 클릭하고 새로 만들기를 클릭합니다.

6. 작업 필드에서 프로그램 시작을 선택합니다.

7. 프로그램/스크립트 필드에서 찾아보기를 클릭하고 Batch 파일 만들기 섹션에서 만든 일괄 처리 파일을 찾아 선택한 다음 열기를 클릭합니다.

8. 확인을 클릭합니다.

9. 일반 탭을 클릭합니다.

10. 보안 옵션 필드에서 사용자 또는 그룹 변경을 클릭합니다.

11. 관리istrators 그룹의 구성원인 계정의 이름을 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

12. 사용자가 로그온했는지 여부에 관계없이 실행을 선택하고 암호를 저장하지 않습니다. 작업은 로컬 컴퓨터 리소스에만 액세스할 수 있습니다.

13. 확인을 클릭합니다.

14. 사용자 계정 자격 증명을 요청하여 작업을 실행하도록 요청하는 대화 상자가 나타납니다.

15. 암호를 입력한 후 확인을 클릭합니다.

16. 다음과 유사한 대화 상자가 나타납니다.

    

"서비스로 로그온 거부" GPO 설정 확인

1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

3. 검색 상자에 서비스를 입력하고 서비스를 클릭합니다.

4. 인쇄 스풀러를 찾아 두 번 클릭합니다.

5. 로그온 탭을 클릭합니다.

6. 로그온 필드에서 이 계정을 선택합니다.

7. 찾아보기를 클릭하고, 관리이스트래터 그룹의 구성원인 계정의 이름을 입력하고, 이름 확인을 클릭한 다음 확인을 클릭합니다.

8. 암호 및 암호 확인 필드에 선택한 계정의 암호를 입력하고 확인을 클릭합니다.

9. 확인을 세 번 더 클릭합니다.

10. 스풀러 인쇄를 마우스 오른쪽 단추로 클릭하고 다시 시작을 클릭합니다.

11. 서비스를 다시 시작하면 다음과 유사한 대화 상자가 나타납니다.

    

프린터 스풀러 서비스로 변경 내용 되돌리기

1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

3. 검색 상자에 서비스를 입력하고 서비스를 클릭합니다.

4. 인쇄 스풀러를 찾아 두 번 클릭합니다.

5. 로그온 탭을 클릭합니다.

6. 로그온 필드에서 로컬 시스템 계정을 클릭하고 확인을 클릭합니다.