다음을 통해 공유

부록 C: Active Directory의 보호된 계정 및 그룹

부록 C: Active Directory의 보호된 계정 및 그룹

Active Directory 내에서 권한이 높은 계정 및 그룹의 기본 집합은 보호된 계정 및 그룹으로 간주됩니다. Active Directory의 대부분의 개체에서 Active Directory 개체를 관리하는 권한을 위임한 사용자는 특수 그룹의 멤버 자격을 수정할 수 있도록 권한을 변경하는 등 개체에 대한 사용 권한을 변경할 수 있습니다.

보호된 계정 및 그룹은 개체에 대한 사용 권한이 일관되게 유지되도록 하는 자동 프로세스를 통해 사용 권한을 설정하고 적용하는 특수 개체입니다. 이러한 권한은 Active Directory에서 개체를 다른 위치로 이동하는 경우에도 유지됩니다. 보호된 개체의 사용 권한을 수정하는 경우 기존 프로세스는 사용 권한이 기본값으로 빠르게 반환되도록 합니다.

Protected Groups

다음 보안 계정 및 그룹은 Active Directory Domain Services에서 보호됩니다.

  • Account Operators
  • Administrator
  • Administrators
  • Backup Operators
  • Domain Admins
  • Domain Controllers
  • Enterprise Admins
  • 엔터프라이즈 키 관리자
  • Key Admins
  • Krbtgt
  • Print Operators
  • 읽기 전용 도메인 컨트롤러
  • Replicator
  • Schema Admins
  • Server Operators

AdminSDHolder

AdminSDHolder 개체의 목적은 도메인의 보호된 계정 및 그룹에 대한 "템플릿" 권한을 제공하는 것입니다. 모든 Active Directory 도메인의 시스템 컨테이너에서 AdminSDHolder라는 개체가 자동으로 만들어집니다. 해당 경로는 CN=AdminSDHolder,CN=System,DC=<domain_component>,DC=<domain_component>?입니다.

Administrators 그룹은 Active Directory 도메인에서 대부분의 개체를 소유하지만 Domain Admins 그룹은 AdminSDHolder 개체를 소유합니다. 기본적으로 엔터프라이즈 관리자는 도메인의 Domain Admins 및 Administrators 그룹과 마찬가지로 도메인의 AdminSDHolder 개체를 변경할 수 있습니다. 또한 AdminSDHolder의 기본 소유자는 도메인의 Domain Admins 그룹이지만 관리자 또는 엔터프라이즈 관리자의 구성원은 개체의 소유권을 가져올 수 있습니다.

SDProp

SDProp은 도메인의 PDC 에뮬레이터(PDCE)를 보유하는 도메인 컨트롤러에서 기본적으로 60분마다 실행되는 프로세스입니다. SDProp은 도메인의 AdminSDHolder 개체에 대한 사용 권한을 도메인의 보호된 계정 및 그룹에 대한 사용 권한과 비교합니다. 보호된 계정 및 그룹에 대한 사용 권한이 AdminSDHolder 개체에 대한 사용 권한과 일치하지 않으면, SDProp이 보호된 계정 및 그룹에 대한 사용 권한이 도메인의 AdminSDHolder 개체와 일치하도록 재설정합니다.

보호된 그룹 및 계정에서 사용 권한 상속을 사용할 수 없습니다. 계정 및 그룹이 디렉터리의 다른 위치로 이동되더라도 새 부모 개체에서 사용 권한을 상속하지 않습니다. 부모 개체에 대한 사용 권한 변경이 AdminSDHolder의 사용 권한을 변경하지 않도록 AdminSDHolder 개체에서 상속을 사용할 수 없습니다.

SDProp 간격 변경

일반적으로 테스트 용도를 제외하고 SDProp이 실행되는 간격을 변경할 필요가 없습니다. SDProp 간격을 변경해야 하는 경우 도메인의 PDCE에서 regedit를 사용하여 HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters에서 AdminSDProtectFrequency DWORD 값을 추가하거나 수정합니다.

값 범위는 60~7200초(1분에서 2시간)입니다. 변경 내용을 제거하려면 AdminSDProtectFrequency 키를 삭제합니다. 키를 삭제하면 SDProp이 60분 간격으로 되돌아갑니다. 일반적으로 도메인 컨트롤러에서 LSASS 처리 오버헤드를 증가시킬 수 있으므로 프로덕션 도메인에서 이 간격을 줄이면 안 됩니다. 이 증가의 영향은 도메인의 보호된 개체 수에 따라 달라집니다.

수동으로 SDProp 실행

AdminSDHolder 변경 내용을 테스트하는 더 나은 방법은 SDProp을 수동으로 실행하는 것입니다. 그러면 작업이 즉시 실행되지만 예약된 실행에는 영향을 주지 않습니다. Ldp.exe 사용하거나 LDAP 수정 스크립트를 실행하여 SDProp를 강제로 실행할 수 있습니다. SDProp을 수동 실행하려면 다음 단계를 수행합니다.

  1. Launch Ldp.exe.

  2. In the Ldp dialog box, click Connection, and click Connect.

  3. In the Connect dialog box, type the name of the ___domain controller for the ___domain that holds the PDC Emulator (PDCE) role and click OK.

    연결 대화 상자를 보여 주는 스크린샷

  4. To verify the connection, check that Dn: (RootDSE) is present similar to the following screenshot. Next click Connection and click Bind.

    연결 메뉴의 바인딩 메뉴 옵션을 보여 주는 스크린샷

  5. In the Bind dialog box, type the credentials of a user account that has permission to modify the rootDSE object. (해당 사용자로 로그온한 경우, 현재 로그온한 사용자로 바인딩을 선택할 수 있습니다) 확인을 클릭합니다.

    rootDSE 개체를 수정할 수 있는 권한이 있는 사용자 계정의 자격 증명을 입력할 위치를 보여 주는 스크린샷

  6. Once the bind operation completes, click Browse, and click Modify.

  7. In the Modify dialog box, leave the DN field blank. 항목 속성 편집 필드에 RunProtectAdminGroupsTask를 입력하고, 필드에 1을 입력합니다. Click Enter to populate the entry list as shown here.

    항목 특성 편집 필드를 보여주는 스크린샷입니다.

  8. In the populated Modify dialog box, click Run, and verify that the changes you made to the AdminSDHolder object have appeared on that object.