높은 권한 있는 그룹에서 영구 멤버 자격에 의존 하지 않는 한 Active Directory 모델을 구현 하는의 과제 중 하나는 임시 그룹의 멤버 자격이 필요 하는 경우 이러한 그룹을 채울 수 있는 메커니즘 이어야 합니다. 일부 권한 있는 id 관리 솔루션 소프트웨어의 서비스 계정에 DA 또는 포리스트의 각 도메인의 관리자와 같은 그룹에서 영구 멤버 자격을 부여 되어 있는지 필요 합니다. 그러나 기술적으로 필요 없는 이러한 높은 권한이 필요한 컨텍스트에서 서비스를 실행 하는 권한 있는 Identity 관리 (PIM) 솔루션에 대 한 합니다.
이 부록에서는 기본적으로 구현 된 또는 타사 PIM 솔루션에 대 한 권한을 제한 하는 고 엄격 하 게 제어할 수 있지만 임시 권한 상승이 필요한 경우 Active Directory의 권한 있는 그룹을 채우는 데 사용할 수 있는 계정 만들기를 사용할 수 있는 정보를 제공 합니다. PIM 네이티브 솔루션으로 구현 하는 경우 이러한 계정을 사용할 수 있습니다 관리 담당자 임시 그룹 채우기를 수행 하지 하 고 타사 소프트웨어를 통해 PIM를 구현 하는 경우 이러한 계정은 서비스 계정으로 작동 하는 데 활용할 수 있습니다.
Note
이 부록에서 설명 하는 절차는 Active Directory에서 높은 권한 있는 그룹의 관리 하는 접근 방식을 제공 합니다. 필요에 따라, 추가 제한을 추가 하려면이 절차를 조정 하거나 여기에 설명 되어 있는 제한의 일부를 생략할 수 있습니다.
Active Directory의 보호된 계정 및 그룹에 대한 관리 계정 만들기
과도 한 권한 부여 관리 계정을 요구 하지 않고 권한 있는 그룹의 구성원을 관리에 사용할 수 있는 계정 만들기 및 사용 권한 구성 이어지는 단계별 지침에 설명 된 네 가지 일반 작업:
첫째, 만들어야 하는 계정을 관리 하는 그룹의 관계를 이러한 계정은 제한 된 신뢰할 수 있는 사용자 집합으로 관리 해야 하기 때문에 합니다. 따로 저장 권한 및 보호 된 계정 및 도메인의 일반적인 인구에서 시스템을 수용 하는 OU 구조 아직 없는 경우 만들어야 합니다. 이 부록에 구체적인 지침은 제공 되지 않으면 있지만 스크린 샷을 OU 계층의 예를 보여 줍니다.
관리 계정을 만듭니다. 이러한 계정은 "일반" 사용자 계정으로 작성 하 고 기본적으로 사용자에 게 이미 부여 된 것 이외의 없는 사용자 권한이 부여 해야 합니다.
만들어진 사용 하도록 설정 하 고 계정 (첫 번째 단계에서 만든 그룹)를 사용할 수 있는 제어 하는 것 외에도 특별 한 용도로 사용할 수 있도록 하는 관리 계정에 제한을 구현 합니다.
AdminSDHolder 개체 관리 계정이 도메인에서 권한 있는 그룹의 구성원 자격을 변경할 수 있도록 각 도메인에서 권한을 구성 합니다.
철저 하 게 모든이 절차를 테스트 하 고 사용자 환경에 프로덕션 환경에서 구현 하기 전에 필요에 따라이 수정 해야 합니다. 모든 설정이 예상 대로 작동 하는지 확인 해야 (일부 테스트 절차는이 부록의 내용 제공), 하 고는 관리 계정을 사용할 수 없는 복구를 위해 보호 그룹을 채우는 데 사용할 재해 복구 시나리오를 테스트 해야 합니다. 백업 및 Active Directory를 복원 하는 방법에 대 한 자세한 내용은 참조는 AD DS 백업 및 복구 단계별 가이드합니다.
Note
이 부록에서 설명 하는 단계를 구현 하 여 EAs, DAs, BAs 등 가장 높은 권한 Active Directory 그룹 뿐만 아니라, 각 도메인의 모든 보호 된 그룹의 구성원을 관리할 수 있는 계정을 만듭니다. Active Directory의 보호 된 그룹에 대 한 자세한 내용은 참조 부록 c: 보호 된 계정 및 Active Directory의 그룹합니다.
보호 그룹에 대 한 관리 계정을 만들기 위한 단계별 지침
설정 및 관리 계정을 해제 하는 그룹 만들기
관리 계정 암호에 사용할 때마다 다시 설정 해야 하 고 것을 요구 하는 활동 완료 되 면 해제 되어야 합니다. 또한 이러한 계정에 대 한 스마트 카드 로그온 요구 사항을 구현 하는 것이 좋습니다, 있지만 선택적 구성 이며 이러한 지침 최소 컨트롤로 관리 계정을 사용자 이름 및 길고 복잡 한 암호 사용 하 여 구성할 수는 가정입니다. 이 단계에서는 관리 계정에서 암호 재설정을 사용 하도록 설정 하 고 계정을 사용할 수 없게 하는 권한이 있는 그룹을 만들게 됩니다.
설정 및 관리 계정을 해제 하는 그룹을 만들려면 다음 단계를 수행 합니다.
In the OU structure where you will be housing the management accounts, right-click the OU where you want to create the group, click New and click Group.
에 새 개체-그룹 대화 상자에서 그룹의 이름을 입력 합니다. 이 그룹 "모든 관리 계정 포리스트에서 활성화"을 사용 하려는 경우 유니버설 보안 그룹을 확인 합니다. 단일 도메인 포리스트가 있는 경우 각 도메인에서 그룹을 만들려는 경우에 글로벌 보안 그룹을 만들 수 있습니다. Click OK to create the group.
Right-click the group you just created, click Properties, and click the Object tab. In the group's Object property dialog box, select Protect object from accidental deletion, which will not only prevent otherwise-authorized users from deleting the group, but also from moving it to another OU unless the attribute is first deselected.
Note
그룹의 부모 관리 사용자의 제한 된 집합을 제한 하는 Ou에 사용 권한을 이미 구성한 경우 다음 단계를 수행 해야 하지 않습니다. 제공 여기 하므로 제한 된 관리 제어권이이 그룹 만든 OU 구조를 아직 구현 하지 않았기 하는 경우에 수정할 수 없도록 그룹을 보호할 수 있습니다 권한이 없는 사용자가 있습니다.
Click the Members tab, and add the accounts for members of your team who will be responsible for enabling management accounts or populating protected groups when necessary.
이미 않았다면 등에 하는 경우는 Active Directory 사용자 및 컴퓨터 콘솔 보기 선택한 고급 기능합니다. Right-click the group you just created, click Properties, and click the Security tab. On the Security tab, click Advanced.
에 [그룹]에 대 한 고급 보안 설정 대화 상자를 클릭 하 여 상속 사용 안 함합니다. 대화 상자가 나타나면 클릭 변환에는이 개체에 대 한 명시적 사용 권한으로 사용 권한을 상속 받은, 클릭 하 고 확인 그룹의 돌아가려면 보안 대화 상자입니다.
On the Security tab, remove groups that should not be permitted to access this group. 예를 들어 인증 된 사용자 그룹의 이름 및 일반 속성을 읽을 수 있으려면 하지 않으려면 해당 ACE를 제거할 수 있습니다. 계정 운영자 및 이전 windows 2000 Server 액세스를 위한 호환 가능한 것과 같은 Ace를 제거할 수도 있습니다. 그러나 위치에 최소 개체 사용 권한 집합을 유지 해야 합니다. 다음 Ace를 그대로 둡니다.
SELF
SYSTEM
Domain Admins
Enterprise Admins
Administrators
Windows Authorization Access Group (있는 경우)
엔터프라이즈 도메인 컨트롤러
이 그룹을 관리 하려면 Active Directory에서 가장 높은 권한 있는 그룹을 허용 하 게 들릴 수 있습니다, 있지만 이러한 설정을 구현할 목표 하지 않으려면 해당 그룹의 구성원 권한이 부여 된 변경입니다. 대신, 매우 높은 수준의 권한 필요로 하는 경우, 있는 경우 권한이 부여 된 변경 내용을 성공 합니다 되도록 목표가입니다. 중첩 그룹, 권한, 권한 있는 기본값을 변경 하 고이 문서 전체에서 사용 권한을 권장 하지 않습니다.이 때문입니다. 기본 구조를 수정 하지 않고 디렉터리에서 가장 높은 권한 그룹의 멤버 자격을 비우고 초기값을 여전히 예상 대로 작동 하는 보다 안전한 환경을 만들 수 있습니다.
Note
이 그룹을 만든 OU 구조에는 개체에 대 한 감사 정책을 아직 구성 하지 않은 경우 구성 해야 감사 변경 내용을 기록할를이 그룹.
"체크 아웃" 하는 그룹의 구성을 완료 했습니다 "체크 인" 계정을 해당 작업을 완료 한 후 필요한 경우 관리 계정.
관리 계정 만들기
Active Directory 설치의 권한 있는 그룹의 멤버 자격을 관리 하는 데 사용 될 하나 이상의 계정 및 가급적 백업으로 사용할 수 있는 두 번째 계정을 만들어야 합니다. 그룹, 보호 된 포리스트에 단일 도메인에 관리 계정을 만들고 모든 도메인에 대 한 관리 기능 권한을 부여 하도록 선택 하 든 또는 포리스트의 각 도메인에서 관리 계정을 구현 하 든 절차는 효과적으로 동일 합니다.
Note
이 문서의 단계는 아직 구현 하지 역할 기반 액세스 제어 및 Active Directory에 대 한 권한 있는 id 관리 하는 것으로 가정 합니다. 따라서 일부 절차는 계정이 해당 도메인에 대 한 Domain Admins 그룹의 멤버인 사용자가 수행 되어야 합니다.
DA 권한을 가진 계정을 사용 하는 경우 구성 작업을 수행 하는 도메인 컨트롤러에 로그온 할 수 있습니다. 관리 워크스테이션에 로그온 하는 권한이 적은 계정에서 DA 권한이 필요 하지 않은 단계를 수행할 수 있습니다. 밝은 파란색 테두리가 있는 대화 상자를 보여 주는 스크린 샷을 도메인 컨트롤러에서 수행할 수 있는 활동을 나타냅니다. 어두운 파란색에서 대화 상자를 보여 주는 스크린 샷을 계정 권한을 제한 하는 관리 워크스테이션에서 수행할 수 있는 활동을 나타냅니다.
관리 계정을 만들려면 다음 단계를 수행 합니다.
도메인의 DA 그룹의 구성원 인 계정으로 도메인 컨트롤러에 로그온 합니다.
Active Directory 사용자 및 컴퓨터 를 시작하고 관리 계정을 만들기 위해 OU로 이동하세요.
Right-click the OU and click New and click User.
에 새 개체-사용자 대화 상자를 원하는 명명 된 계정에 대 한 정보를 입력 한 다음 클릭 다음합니다.
분명 사용자 계정에 대 한 초기 암호를 제공 사용자는 다음 로그온 할 때 암호를 변경 해야, 선택, 사용자 암호를 변경할 수 없습니다 및 계정이 비활성화 되어, 클릭 하 고 다음합니다.
Verify that the account details are correct and click Finish.
Right-click the user object you just created and click Properties.
Click the Account tab.
In the Account Options field, select the Account is sensitive and cannot be delegated flag, select the This account supports Kerberos AES 128 bit encryption and/or the This account supports Kerberos AES 256 encryption flag, and click OK.
Note
다른 계정과 마찬가지로이 계정에는 제한 하지만 강력한 함수가 포함 되므로 계정은 보안 관리 호스트에만 사용 해야 합니다. 모든 보안 관리에 있는 호스트의 사용자 환경에 대 한 구현을 고려해 그룹 정책 설정을 네트워크 보안: Kerberos에 허용 되는 구성 암호화 종류 가장 안전한 암호화 종류를 허용 하도록 보안 호스트에 구현할 수 있습니다.
호스트에 대 한 보다 안전한 암호화 종류를 구현 하는 경우에 자격 증명 도난 공격 완화 되지 않습니다, 하지만 적절 한 사용 및 보안 호스트의 구성에서는 않습니다. 컴퓨터의 전반적인 공격 노출을 줄입니다만 권한 있는 계정에서 사용 되는 호스트에 대 한 더 강력한 암호화 유형을 설정 합니다.
시스템 및 계정에서 암호화 종류를 구성 하는 방법에 대 한 자세한 내용은 참조 Kerberos 지원 암호화 유형에 대 한 Windows 구성합니다.
이러한 설정은 Windows Server 2012, Windows Server 2008 R2, Windows 8 또는 Windows 7을 실행하는 컴퓨터에서만 지원됩니다.
On the Object tab, select Protect object from accidental deletion. 이 개체도 (권한 있는 사용자의 경우) 하 여 삭제를 수 있지만 방해 하 여 AD DS 계층 구조에서 다른 OU로 이동 되지 특성을 변경할 수 있는 권한이 있는 사용자는 확인란의 선택을 취소 먼저 하지 않는 한 합니다.
Click the Remote control tab.
지우기는 원격 제어 사용 플래그입니다. 지원 담당자가이 계정 수정 프로그램을 구현 하는이 세션에 연결 하는 데 필요한 안 있습니다.
Note
Active Directory 모든 개체에에서 지정된 된 IT 소유자 및 있어야 지정 된 비즈니스 소유자가에 설명 된 대로 손상에 대 한 계획합니다. (외부 데이터베이스)가 아니라 Active Directory에서 AD DS 개체의 소유권을 추적 하는 경우에이 개체의이 속성에 적절 한 소유권 정보를 입력 해야 합니다.
이 경우 비즈니스 소유자는 대개 IT 부서는 andthere 비즈니스 소유자가 있는 IT 소유자에 대 한 금지 없습니다. 개체의 소유권을 설정 하는 점은 변경 해야 할 개체에 아마도 년 초기 생성에서 하는 경우 연락처를 식별할 수 있도록 하는 것입니다.
Click on the Organization tab.
AD DS 개체 표준 프로그램에 필요한 모든 정보를 입력 합니다.
Click on the Dial-in tab.
에 네트워크 액세스 권한 필드를 선택한 액세스 거부합니다. 이 계정은 해야 원격 연결을 통해 연결할 필요는 없습니다.
Note
이 계정은 사용자 환경에서 읽기 전용 도메인 컨트롤러 (Rodc)에 로그온 하는 많지 않습니다. 그러나 해야 상황에서 필요한 계정에 로그온 RODC에 로그온 추가 해야이 계정이 Denied RODC Password Replication Group에 해당 암호는 RODC에 캐시 되지 않도록 합니다.
각 사용 후 계정 암호를 다시 설정 해야 하 고 계정을 사용 하지 않도록 설정 해야 하지만이 설정을 구현 하는 계정에 나쁜 영향 없고 관리자 계정의 암호를 다시 설정 하 고 비활성화가 잊어버린 경우에 도움이 될 수 있습니다.
Click the Member Of tab.
Click Add.
형식 Denied RODC Password Replication Group 에 선택 사용자, 연락처, 컴퓨터 대화 상자를 클릭 하 고 이름 확인합니다. When the name of the group is underlined in the object picker, click OK and verify that the account is now a member of the two groups displayed in the following screenshot. 보호 그룹에 계정을 추가 하지 마십시오.
Click OK.
Click the Security tab and click Advanced.
에 고급 보안 설정 대화 상자를 클릭 하 여 상속 사용 안 함 명시적 권한이 상속된 된 사용 권한을 복사 하 고을 클릭 추가합니다.
에 [Account]에 대 한 사용 권한 항목 대화 상자를 클릭 보안 주체 선택 이전 절차에서 만든 그룹을 추가 합니다. Scroll to the bottom of the dialog box and click Clear all to remove all default permissions.
Scroll to the top of the Permission Entry dialog box. Ensure that the Type drop-down list is set to Allow, and in the Applies to drop-down list, select This object only.
In the Permissions field, select Read all properties, Read permissions, and Reset password.
In the Properties field, select Read userAccountControl and Write userAccountControl.
Click OK, OK again in the Advanced Security Settings dialog box.
Note
The userAccountControl attribute controls multiple account configuration options. 특성에 대 한 쓰기 권한을 부여 하는 경우 일부 구성 옵션을 변경할 수 있는 권한을 부여할 수 없습니다.
에 그룹 또는 사용자 이름 필드는 보안 탭에서 액세스 계정을 관리 하거나 허용 되지 않은 모든 그룹을 제거 합니다. Everyone 그룹 및 자체 계산 계정 등 Deny Ace를 사용 하 여 구성 된 모든 그룹을 제거 하지 마십시오 (해당 ACE 때 설정 된는 사용자 암호를 변경할 수 없음 플래그 계정 작성 하는 동안 활성화 되었습니다. 또한 방금 추가한 그룹, 시스템 계정 또는 EA, DA, BA, 또는 Windows Authorization Access Group 같은 그룹 제거 하지 마십시오.
Click Advanced and verify that the Advanced Security Settings dialog box looks similar to the following screenshot.
Click OK, and OK again to close the account's property dialog box.
첫 번째 관리 계정의 설치가 이제 완료 됩니다. 이후 절차에서 계정을 테스트 합니다.
추가 관리 계정 만들기
이전 단계를 반복 하 여, 방금 만든 계정에 복사 하 여 또는 원하는 구성 설정을 사용 하 여 계정을 만들 수 있는 스크립트를 만들어 추가 관리 계정을 만들 수 있습니다. 그러나 방금 만든 계정을 복사 하는 경우 새 계정으로 복사 되지 것입니다 다 수의 사용자 지정된 설정 및 Acl 및 대부분의 구성 단계를 반복 해야 note 합니다.
대신 채우고 unpopulate 보호 된 그룹에 대 한 권한을 위임할 수 있는 그룹을 만들지만 보안 그룹 및 계정에 배치 해야 합니다. 보호 그룹의 구성원을 관리 하는 기능을 허용 하는 매우 적은 계정을 디렉터리에 있을 것 때문에 개별 계정을 만드는 가장 간단한 방법은 수 있습니다.
관리 계정의 넣을 있는 그룹을 만들려면 원하는 방법에 관계 없이 앞에서 설명한 대로 각 계정에 보안을 확인 해야 합니다. GPO의 제한 사항에 설명 된 것과 유사한 구현도 고려해 야 부록 d: 보안 기본 제공 관리자 계정에 Active Directory합니다.
감사 관리 계정
최소한 계정에 대 한 모든 쓰기를 기록 하려면 계정에 대 한 감사를 구성 해야 합니다. 이 성공적으로 계정을 사용 하도록 설정 하 고 권한이 부여 된 사용 중 하지만 식별 하는 데도 권한이 없는 사용자가 조작 하려고 계정 암호 재설정 식별 뿐만 아니라 수 있습니다. 실패 한 쓰기는 계정에 보안 정보 및 이벤트 모니터링 SIEM () 시스템에 해당 하는 경우, 캡처하고 잠재적인 단점을 조사 하는 일을 담당 직원에 게 알림을 제공 하는 경고를 트리거해야 합니다.
메뉴 및 도구 모음을 SIEM 솔루션 관련 된 보안 원본 (예를 들어: 이벤트 로그, 애플리케이션 데이터, 네트워크 스트림, 맬웨어 방지 제품 및 침입 검색 원본)에서 이벤트 정보를 가져올 데이터를 정렬할 지능형 보기와 자동 관리 작업을 확인 하려고 합니다. 많은 상용 SIEM 솔루션 이며 대부분의 기업에서는 개인 구현을 만듭니다. 보안 모니터링 및 문제 대응 기능 하도록 설계 되 고 적절 하 게 구현 된 SIEM 대폭 향상 시킬 수 있습니다. 그러나 기능과 정확도 다릅니다 단시간 솔루션입니다. 이 문서의 범위를 벗어나는으로 SIEMs 하지만 모든 SIEM 구현자에 의해 포함 된 특정 이벤트 권장 사항을 고려해 야 합니다.
도메인 컨트롤러에 대 한 권장된 감사 구성 설정에 대 한 자세한 내용은 참조 손상의 기호에 대 한 Active Directory 모니터링합니다. 도메인 컨트롤러 관련 구성 설정에 제공 된 손상의 기호에 대 한 Active Directory 모니터링합니다.
보호 되는 그룹의 멤버 자격을 수정 하는 관리 계정을 사용 하도록 설정
이 절차에서는 새로 만든된 관리 계정이 도메인의 보호 된 그룹의 멤버 자격을 수정할 수 있도록 도메인의 AdminSDHolder 개체에 사용 권한을 구성 합니다. 이 절차는 그래픽 사용자 인터페이스 (GUI)를 통해 수행할 수 없습니다.
에 설명 된 대로 부록 c: 보호 된 계정 및 Active Directory의 그룹, SDProp 작업이 실행 되 면 개체는 효과적으로 "복사" 하는 도메인의 AdminSDHolder에 대 한 ACL 개체를 보호 합니다. 보호 되는 그룹 및 계정에서에서 상속 하지 않는 사용 권한을 AdminSDHolder 개체입니다. AdminSDHolder 개체에 일치 하도록 해당 권한은 명시적으로 설정 합니다. 따라서 AdminSDHolder 개체에 대 한 권한을 수정 하면 대상으로 하는 보호 된 개체의 형식에 적절 한 특성에 대 한 수정할 해야 있습니다.
이 경우 있습니다 됩니다 수 부여에 새로 만든된 관리 계정을 읽기 위해 및 멤버 특성에 대 한 쓰기 그룹 개체를 허용 합니다. 그러나 AdminSDHolder 개체 그룹 개체 아니며 그룹 특성 그래픽 ACL 편집기에 표시 되지 않습니다. Dsacls 명령줄 유틸리티를 통해 사용 권한 변경 내용을 구현 하는 이러한 이유 때문입니다. (사용 안 함된) 관리 계정 권한 보호 되는 그룹의 구성원 자격 수정에 부여 하려면 다음 단계를 수행 합니다.
도메인 컨트롤러는 PDC 에뮬레이터 (PDCE) 역할 이루어졌습니다 DA 그룹의 멤버인 도메인 사용자 계정의 자격 증명으로 도메인 컨트롤러 가급적에 로그온 합니다.
Open an elevated command prompt by right-clicking Command Prompt and click Run as administrator.
When prompted to approve the elevation, click Yes.
Note
권한 상승 및 사용자 계정 컨트롤 (UAC) Windows에서에 대 한 자세한 내용은 참조 UAC 프로세스 및 상호 작용 TechNet 웹 사이트입니다.
명령 프롬프트 (도메인 관련 정보로 대체) 하는 형식 Dsacls [사용자 도메인에 있는 AdminSDHolder 개체의 고유 이름] [관리 계정 UPN] /G: RPWP; 구성원합니다.
이전 명령 (대/소문자 구분 하지 않음)은 다음과 같습니다.
Dsacls 설정 하거나 Ace 디렉터리 개체에 표시 됩니다.
CN AdminSDHolder, CN = System, DC = 명인 = msft 수정할 개체를 식별 합니다.
/G은 ACE 권한 부여 구성 되어 있는지 나타냅니다.
PIM001@tailspintoys.msft 은 ACE가 부여될 보안 주체의 UPN(사용자 계정 이름)입니다.
RPWP 부여 속성 읽기 및 쓰기 권한을 속성
멤버의 이름인 속성 (특성)에 사용 권한을 설정할 수
For more information about use of Dsacls, type Dsacls without any parameters at a command prompt.
도메인 관리 계정을 여러 개를 만든 경우 각 계정에 대해 Dsacls 명령을 실행 해야 합니다. AdminSDHolder 개체에서 ACL 구성을 완료 했으면, 실행 또는 예약 된 실행이 완료 될 때까지 대기 하도록 SDProp를 강제로 수행 해야 합니다. 실행 하는 SDProp 강제 적용 하는 방법에 대 한 내용은 "실행 SDProp Manually"를 참조 부록 c: 보호 된 계정 및 Active Directory의 그룹합니다.
SDProp이 실행 될 때 도메인의 보호 된 그룹에는 AdminSDHolder 개체에 대 한 변경 내용이 적용 된 것을 확인할 수 있습니다. 앞에서 설명한 이유 때문에 AdminSDHolder 개체에 ACL을 확인 하 여이 확인할 수 없는 있지만 보호 된 그룹에 Acl을 확인 하 여 사용 권한이 적용 된 것을 확인할 수 있습니다.
Active Directory 사용자 및 컴퓨터, 를 설정 했는지 확인 고급 기능합니다. To do so, click View, locate the Domain Admins group, right-click the group and click Properties.
Click the Security tab and click Advanced to open the Advanced Security Settings for Domain Admins dialog box.
선택 관리 계정에 대 한 ACE 허용 클릭 편집합니다. Verify that the account has been granted only Read Members and Write Members permissions on the DA group, and click OK.
Click OK in the Advanced Security Settings dialog box, and click OK again to close the property dialog box for the DA group.
이전 단계를 반복 하 여 도메인;에서 보호 되는 다른 그룹에 대 한 사용 권한을 모든 보호 그룹에 대해 동일 해야 합니다. 이제이 도메인의 보호 된 그룹에 대 한 관리 계정의 생성 및 구성 완료 했습니다.
Note
그룹의 구성원이 Active Directory에 쓰기 권한이 있는 계정을 그룹에 자신을 추가할 수도 수 있습니다. 이 동작은 의도적으로 설계 비활성화할 수 없습니다. 이러한 이유로 때 사용 중이 아님, 사용 하지 않도록 설정 하는 관리 계정을 항상 보존 해야와 밀접 하 게 모니터링 하는 계정 사용 안 함 하 고 사용 되기 합니다.
그룹 및 계정 구성 설정 확인
만들어졌으며 (포함 하는 가장 높은 권한이 필요한 EA, DA 및 BA 그룹)는 도메인의 보호 된 그룹의 멤버 자격을 수정할 수 있는 관리 계정 구성 했으므로 계정 및 해당 관리 그룹 만들어졌는지 제대로 확인 해야 합니다. 확인이 일반 작업으로 이루어집니다.
테스트를 사용 하도록 설정 하 고 되었는지 확인 하 수 있는 그룹의 멤버를 사용 하도록 설정 하 고 계정을 사용할 수 없게 하 고 자신의 암호를 재설정할 관리 계정에서 다른 관리 작업을 수행할 수 없습니다 관리 계정을 사용 하지 않도록 설정할 수 있는 그룹입니다.
테스트를 추가할 수 및 멤버 제거는 도메인에서 그룹을 보호 하지만 보호 된 계정 및 그룹의 다른 속성을 변경할 수 없습니다 확인 하려면 관리 계정이 있습니다.
테스트 그룹을 설정 하 고 관리 계정 사용 안 함
관리 계정 사용 하도록 설정 하 고 해당 암호를 재설정를 테스트 하려면 워크스테이션에 로그온 한 보안 관리 그룹의 구성원 인 계정으로에서 만든 부록 i: 관리 계정 만들기 Active Directory의 보호 된 계정 및 그룹에 대 한합니다.
열기 Active Directory 사용자 및 컴퓨터, 관리 계정을 마우스 오른쪽 단추로 클릭 하 고 클릭 계정 사용합니다.
계정이 설정 되어 있는지 확인 하는 대화 상자가 표시 됩니다.
다음으로, 관리 계정에서 암호를 다시 설정 합니다. To do so, right-click the account again and click Reset Password.
Type a new password for the account in the New password and Confirm password fields, and click OK.
계정의 암호 다시 설정 되었는지 확인 하는 대화 상자가 나타납니다.
이제 관리 계정의 추가 속성을 수정 하려고 합니다. Right-click the account and click Properties, and click the Remote control tab.
선택 원격 제어 사용 클릭 적용합니다. The operation should fail and an Access Denied error message should display.
Click the Account tab for the account and attempt to change the account's name, logon hours, or logon workstations. All should fail, and account options that are not controlled by the userAccountControl attribute should be grayed out and unavailable for modification.
DA 그룹과 같은 보호 그룹에 관리 그룹을 추가 하려고 했습니다. When you click OK, a message should appear, informing you that you do not have permissions to modify the group.
Perform additional tests as required to verify that you cannot configure anything on the management account except userAccountControl settings and password resets.
Note
The userAccountControl attribute controls multiple account configuration options. 특성에 대 한 쓰기 권한을 부여 하는 경우 일부 구성 옵션을 변경할 수 있는 권한을 부여할 수 없습니다.
테스트 관리 계정
보호 그룹의 구성원을 변경할 수 있는 하나 이상의 계정을 사용 하도록 설정한 했으므로 계정을 확인은 보호 그룹 구성원 자격을 수정할 수 있지만 보호 된 계정 및 그룹에서 기타 수정 작업을 수행할 수 없습니다를 테스트할 수 있습니다.
보안 관리 호스트에 첫 번째 관리 계정으로 로그온 합니다.
시작 Active Directory 사용자 및 컴퓨터 찾아서는 Domain Admins 그룹합니다.
Right-click the Domain Admins group and click Properties.
에 도메인 관리자 속성, 를 클릭 하는 멤버 탭 및 클릭 추가 합니다. Enter the name of an account that will be given temporary Domain Admins privileges and click Check Names. When the name of the account is underlined, click OK to return to the Members tab.
On the Members tab for the Domain Admins Properties dialog box, click Apply. After clicking Apply, the account should stay a member of the DA group and you should receive no error messages.
Click the Managed By tab in the Domain Admins Properties dialog box and verify that you cannot enter text in any fields and all buttons are grayed out.
Click the General tab in the Domain Admins Properties dialog box and verify that you cannot modify any of the information about that tab.
필요에 따라 보호 되는 추가 그룹에 대해 이러한 단계를 반복 합니다. 완료 되 면 로그 설정 및 관리 계정을 사용 하지 않도록 설정 하기 위해 만든 보안 관리 호스트 그룹의 구성원 인 계정으로 로그온 합니다. 그런 다음 방금 테스트 하 고 계정을 사용 하지 않도록 설정 하는 관리 계정에 암호를 다시 설정 합니다. 관리 계정 및 그룹 계정을 설정 하거나 해제 하는 일을 담당 될의 설치를 완료 했습니다.