위임 관리 서비스 계정 개요

원래 서비스 계정 암호를 사용하지 않도록 설정하면서 기존 서비스 계정에서 관리형 및 완전 임의 키가 있는 컴퓨터 계정으로 마이그레이션할 수 있도록 하는 DMSA(위임된 관리 서비스 계정)라는 새 계정 유형이 Windows Server 2025에 도입되었습니다. dMSA에 대한 인증은 디바이스 ID에 연결됩니다. 즉, AD(Active Directory)에 매핑된 지정된 컴퓨터 ID만 계정에 액세스할 수 있습니다. dMSA를 사용하면 기존 서비스 계정에서 흔히 발생하는 문제인 손상된 계정을 사용한 자격 증명 수집(kerberoasting)을 방지할 수 있습니다.

dMSA 및 gMSA 비교

dMSA와 gMSA는 Windows Server에서 서비스 및 응용 프로그램을 실행하는 데 사용되는 두 가지 유형의 관리 서비스 계정입니다. dMSA는 관리자가 관리하며 특정 서버에서 서비스 또는 애플리케이션을 실행하는 데 사용됩니다. gMSA는 AD에서 관리하며 여러 서버에서 서비스 또는 애플리케이션을 실행하는 데 사용됩니다. 두 가지 모두 향상된 보안과 간소화된 비밀번호 관리 기능을 제공합니다. dMSA는 다음과 같이 다릅니다.

• GMSA 개념을 활용하여 CG( Credential Guard )를 사용하여 컴퓨터 인증을 바인딩하는 사용 범위를 제한합니다.
• CG를 사용하면 비밀번호를 자동으로 회전하고 모든 서비스 계정 티켓을 바인딩하여 dMSA의 보안을 강화할 수 있습니다. 그런 다음 레거시 계정을 비활성화하여 보안을 더욱 강화합니다.
• gMSA는 컴퓨터 생성 및 자동 로트된 암호로 보호되지만 암호는 여전히 컴퓨터에 바인딩되지 않으며 도난 당할 수 있습니다.

dMSA의 기능

dMSA를 사용하면 독립형 계정으로 만들거나 기존 표준 서비스 계정을 대체할 수 있습니다. dMSA가 기존 계정을 대체하면 해당 암호를 사용하여 기존 계정에 대한 인증이 차단됩니다. 요청은 이전 계정이 AD에서 액세스할 수 있는 모든 항목에 액세스할 수 있는 dMSA를 사용하여 인증하기 위해 LSA( 로컬 보안 기관 )로 리디렉션됩니다.

마이그레이션하는 동안 dMSA는 서비스 계정을 사용할 디바이스를 자동으로 학습한 다음 기존의 모든 서비스 계정에서 이동하는 데 사용합니다.

dMSA는 도메인 컨트롤러(DC)가 보유하고 있는 무작위 비밀(컴퓨터 계정 자격 증명에서 파생됨)을 사용하여 티켓을 암호화합니다. CG를 활성화하면 비밀을 더욱 안전하게 보호할 수 있습니다. dMSA에서 사용하는 비밀은 gMSA와 마찬가지로 주기적으로 업데이트되지만, 주요 차이점은 dMSA의 비밀은 DC가 아닌 다른 곳에서는 검색하거나 찾을 수 없다는 점입니다.

dMSA를 위한 마이그레이션 흐름

dMSA의 마이그레이션 흐름 프로세스에 대한 간략한 개념은 다음 단계를 포함합니다:

1. CG 정책은 머신의 ID를 보호하도록 구성할 수 있습니다.
2. 관리자가 서비스 계정 마이그레이션을 시작하고 완료합니다.
3. 서비스 계정이 티켓 부여 서버(TGT)를 새로 고칩니다.
4. 서비스 계정은 원칙을 허용하기 위해 머신 ID를 추가합니다.
5. 원래 서비스 계정이 비활성화됩니다.

dMSA를 마이그레이션할 때는 다음 사항에 유의하세요.

• 관리형 서비스 계정 또는 gMSA에서 dMSA로 마이그레이션할 수 없습니다.
• SD(보안 설명자)를 수정한 후 최소 두 번의 티켓 수명 주기(14일에 해당)를 기다렸다가 dMSA 마이그레이션을 완료하세요. 4개의 티켓 수명(28일)동안 서비스를 시작 상태로 유지하는 것이 좋습니다. 온보딩 중에 DC가 파티션되거나 복제가 중단된 경우 마이그레이션을 지연하세요.
• 복제 지연 시간이 기본 티켓 갱신 시간인 10시간보다 긴 사이트에 주의하세요. groupMSAMembership 특성은 모든 티켓 갱신 시 확인 및 업데이트되며, "마이그레이션 시작" 상태 중에 원래 서비스 계정이 로그온할 때마다 dMSA의 groupMSAMembership에 컴퓨터 계정을 추가합니다.
  • 예를 들어 두 사이트가 동일한 서비스 계정을 사용하며 각 복제 주기가 티켓 수명 주기당 10시간 이상 걸리는 경우입니다. 이 시나리오에서는 초기 복제 주기 동안 그룹 멤버십이 손실됩니다.
• 마이그레이션하려면 SD를 쿼리하고 수정하기 위해 읽기-쓰기 도메인 컨트롤러(RWDC)에 액세스해야 합니다.
• 이전 서비스 계정에서 사용 중이던 무제한 위임은 마이그레이션이 완료되면 작동이 중지됩니다. CG로 보호되는 dMSA를 사용하는 경우 제약되지 않은 위임은 작동을 중지합니다. 자세한 내용은 Credential Guard를 사용할 때 고려 사항 및 알려진 문제를 참조하세요.

dMSA용 계정 속성

이 섹션에서는 AD 스키마에서 dMSA의 속성이 변경되는 방식에 대해 설명합니다. 이러한 특성은 Active Directory 사용자 및 컴퓨터 스냅인을 사용하거나 DC에서 ADSI Edit 를 실행하여 볼 수 있습니다.

Start-ADServiceAccountMigration을 실행하면 다음과 같은 변경 사항이 수행됩니다.

• 서비스 계정에 dMSA의 모든 속성에 대한 일반 읽기 권한이 부여됩니다.
• 서비스 계정에 msDS-groupMSAMembership에 Write 속성이 부여됩니다.
• msDS-DelegatedMSAState 가 1로 변경됨
• msDS-ManagedAccountPrecededByLink 가 서비스 계정으로 설정됨
• msDS-SupersededAccountState 가 1로 변경됨
• msDS-SupersededManagedServiceAccountLink 속성이 dMSA로 설정됨

Complete-ADServiceAccountMigration을 실행하면 다음과 같은 변경 사항이 수행됩니다.

• 서비스 계정이 dMSA의 모든 속성에 대한 일반 읽기 권한에서 제거됨
• 서비스 계정이 msDS-GroupMSAMembership 특성의 Write 속성에서 제거됩니다.
• msDS-DelegatedMSAState 가 2로 설정됨
• SPN(서비스 사용자 이름)은 서비스 계정에서 dMSA 계정으로 복사됩니다.
• msDS-AllowedToDelegateTo는 해당될 경우 복사됩니다.
• msDS-AllowedToActOnBehalfOfOtherIdentity 보안 설명자가 해당하는 경우 복사됩니다.
• 서비스 계정의 할당된 AuthN 정책 msDS-AssignedAuthnPolicy가 복사됩니다.
• 서비스 계정이 구성원이었던 AuthN 정책 사일로에 dMSA가 추가됩니다.
• 신뢰할 수 있는 “위임을 위한 인증” 사용자 계정 컨트롤(UAC) 비트가 서비스 계정에 설정되어 있는 경우 복사됩니다.
• msDS-SupersededServiceAccountState 가 2로 설정됨
• 서비스 계정은 UAC 비활성화 비트를 통해 비활성화됩니다.
• SPN이 계정에서 제거됩니다.

dMSA 영역

영역은 도메인 또는 포리스트 간에 다른 버전의 AD를 통합할 때 일반적으로 사용되는 인증 경계를 정의하는 논리 그룹화 역할을 합니다. 일부 도메인이 dMSA의 모든 기능을 완전히 지원하지 않을 수 있는 혼합 도메인 환경에서 특히 중요합니다. dMSA는 영역을 지정하여 도메인 간의 적절한 통신 및 인증 흐름을 보장할 수 있습니다.

관리자는 영역을 사용하여 dMSA 계정을 인증하고 액세스할 수 있는 도메인 또는 디렉터리 구성 요소를 지정할 수 있습니다. 이렇게 하면 기본적으로 dMSA 기능을 지원하지 않을 수 있는 이전 자식 도메인도 보안 경계를 유지하면서 계정과 상호 작용할 수 있습니다. 영역은 혼합 환경에서 원활한 전환 및 기능 공존을 용이하게 하며, 사용하도록 설정할 때 강력한 보안을 유지하면서 도메인 간의 호환성을 보장합니다.

예를 들어 Windows Server 2025에서 실행되는 기본 corp.contoso.com 도메인과 Windows Server 2022 실행이라는 legacy.corp.contoso.com 이전 자식 도메인이 있는 경우 영역을 다음과 같이 legacy.corp.contoso.com지정할 수 있습니다.

사용자 환경에 대한 이 그룹 정책 설정을 편집하려면 다음 경로로 이동합니다.

컴퓨터 구성\관리 템플릿\System\Kerberos\위임된 관리 서비스 계정 로그온 사용

참고하십시오

위임된 관리 서비스 계정 설정