Windows LAPS(Windows 로컬 관리자 암호 솔루션)를 사용하여 로컬 관리자 계정 및 DSRM(도메인 컨트롤러 디렉터리 서비스 복원 모드) 계정의 암호를 관리할 수 있습니다. 이 문서에서는 Windows LAPS 및 Windows Server Active Directory를 시작하는 방법을 보여 줍니다. Windows LAPS를 사용하여 Windows Server Active Directory에 암호를 백업하고 검색하기 위한 기본 절차를 설명합니다.
도메인 기능 수준 및 도메인 컨트롤러 운영 체제 버전 요구 사항
DFL(도메인 기능 수준)이 2016년 이전인 경우 Windows LAPS 암호 암호화를 사용하도록 설정할 수 없습니다. 암호 암호화가 없는 경우:
- Windows Server ACL(Active Directory 액세스 제어 목록)으로 보호되는 암호를 명확한 텍스트로만 저장하도록 클라이언트를 구성할 수 있습니다.
- 로컬 DSRM 계정을 관리하도록 도메인 컨트롤러를 구성할 수 없습니다.
도메인에서 2016 이상의 DFL을 사용하는 경우 Windows LAPS 암호 암호화를 사용하도록 설정할 수 있습니다. 그러나 실행하는 모든 Windows Server 2016 및 이전 도메인 컨트롤러는 Windows LAPS를 지원하지 않습니다. 따라서 이러한 도메인 컨트롤러는 DSRM 계정 관리 기능을 사용할 수 없습니다.
이러한 제한 사항을 알고 있는 한 도메인 컨트롤러에서 Windows Server 2016 및 이전에 지원되는 운영 체제를 사용하는 것이 좋습니다.
다음 표에는 다양한 시나리오에서 지원되는 기능이 요약되어 있습니다.
| Domain details | 일반 텍스트로 된 비밀번호 저장 지원 | 암호화된 암호 스토리지 지원(도메인 조인 클라이언트용) | DSRM 계정 관리 지원(도메인 컨트롤러용) |
|---|---|---|---|
| 2016년 이전 DFL | Yes | No | No |
| 하나 이상의 Windows Server 2016 또는 이전 도메인 컨트롤러가 있는 2016 DFL | Yes | Yes | 예, Windows Server 2019 이상 도메인 컨트롤러에만 해당 |
| Windows Server 2019 이상 도메인 컨트롤러만 있는 2016 DFL | Yes | Yes | Yes |
최신 기능 및 보안 향상을 활용하려면 클라이언트, 서버 및 도메인 컨트롤러에서 사용 가능한 최신 운영 체제로 업그레이드하는 것이 좋습니다.
Active Directory 준비
관리되는 계정의 암호를 Active Directory에 백업하도록 Active Directory 조인 또는 하이브리드 조인 디바이스를 구성하기 전에 다음 단계를 수행합니다.
Note
Microsoft Entra ID에 암호만 백업하려는 경우 AD 스키마 확장을 포함하여 이러한 단계를 수행할 필요가 없습니다.
- 그룹 정책 중앙 저장소를 사용하는 경우 Windows LAPS 그룹 정책 템플릿 파일을 중앙 저장소에 수동으로 복사합니다. 자세한 내용은 Windows LAPS에 대한 정책 설정 구성을 참조하세요.
- 암호 만료 및 암호 검색에 대한 적절한 AD 권한을 분석, 확인 및 구성합니다. Windows Server Active Directory 암호를 참조하세요.
- 암호를 해독하기 위한 적절한 권한 있는 그룹을 분석하고 확인합니다. Windows Server Active Directory 암호를 참조하세요.
- 이전 단계에서 결정된 대로 적절한 설정을 사용하여 관리되는 디바이스를 대상으로 하는 새 Windows LAPS 정책을 만듭니다.
Windows Server Active Directory 스키마 업데이트
Windows LAPS를 사용하려면 먼저 Windows Server Active Directory 스키마를 업데이트해야 합니다. cmdlet을 Update-LapsADSchema 사용하여 이 작업을 수행할 수 있습니다. 전체 숲에 대한 단일 작업입니다. Windows LAPS로 업데이트된 Update-LapsADSchema Windows Server 2019 이상 도메인 컨트롤러에서 cmdlet을 로컬로 실행할 수 있습니다. 그러나 서버가 Windows LAPS PowerShell 모듈을 지원하는 한 도메인 컨트롤러가 아닌 서버에서 이 cmdlet을 실행할 수도 있습니다.
PS C:\> Update-LapsADSchema
Tip
-Verbose 처리 중 cmdlet의 진행률에 대한 자세한 정보를 보려면 명령줄에 매개 변수를 포함합니다. LAPS PowerShell 모듈의 모든 cmdlet에서 -Verbose 매개 변수를 사용할 수 있습니다.
관리되는 디바이스에 암호를 업데이트할 수 있는 권한 부여
Windows LAPS를 사용하여 디바이스에서 암호를 관리하는 경우 해당 관리 디바이스에 암호를 업데이트할 수 있는 권한을 부여해야 합니다. 디바이스를 포함하는 OU(조직 구성 단위)에 상속 가능한 권한을 설정하여 이 작업을 수행할 수 있습니다. 다음 코드와 Set-LapsADComputerSelfPermission 같이 이 용도로 cmdlet을 사용할 수 있습니다.
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
도메인의 루트에 상속 가능한 사용 권한을 설정하려는 경우 DN(고유 이름) 입력 형식을 사용하여 전체 도메인 루트를 지정할 수 있습니다. 예를 들어 -Identity 매개 변수에 DC=laps,DC=com 인수를 사용하여 매개 변수를 지정할 수 있습니다.
암호 쿼리 권한 부여
Active Directory에서 암호를 쿼리하려면 사용자에게 사용 권한이 부여되어야 합니다. 디바이스를 포함하는 OU(조직 구성 단위)에 상속 가능한 권한을 설정하여 이 작업을 수행할 수 있습니다. 다음 코드와 Set-LapsADReadPasswordPermission 같이 이 용도로 cmdlet을 사용할 수 있습니다.
PS C:\> Set-LapsADReadPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordReadersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Domain Admins 그룹의 구성원은 기본적으로 암호 쿼리 권한이 이미 있습니다.
Tip
사용자가 Active Directory에서 암호를 쿼리할 수 있는 권한이 부여되면 사용자가 암호화된 암호를 해독할 수 있는 권한이 자동으로 부여되지 않습니다. 암호화된 암호 해독 권한은 디바이스가 Active Directory에 암호를 저장하는 시점에 정책 설정을 사용하여 ADPasswordEncryptionPrincipal 구성됩니다.
ADPasswordEncryptionPrincipal에 대한 기본 정책 설정은 도메인 관리자 그룹입니다.
암호 만료 권한 부여
Active Directory에 저장된 암호의 만료 시간을 설정하려면 사용자에게 사용 권한이 부여되어야 합니다. Active Directory에서 암호가 만료된 것으로 표시되면 디바이스는 다음 처리 주기에서 암호를 회전합니다. 사용자는 이 메커니즘을 사용하여 남은 시간을 다음으로 예상되는 암호 회전으로 단축(또는 확장)할 수 있습니다.
디바이스를 포함하는 OU(조직 구성 단위)에 상속 가능한 권한을 설정하여 이 작업을 수행할 수 있습니다. 다음 코드와 Set-LapsADResetPasswordPermission 같이 이 용도로 cmdlet을 사용할 수 있습니다.
PS C:\> Set-LapsADResetPasswordPermission -Identity NewLAPS -AllowedPrincipals @("laps\LapsPasswordExpirersGroup")
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tip
Domain Admins 그룹의 구성원은 기본적으로 암호 만료 권한이 이미 있습니다.
Tip
이 cmdlet은 Set-LapsADPasswordExpirationTime 권한이 부여되면 Active Directory에서 지정된 디바이스에 대한 암호 만료 시간을 설정하는 데 사용할 수 있습니다.
확장된 권한 조회
일부 사용자 또는 그룹은 관리되는 디바이스의 OU에 대한 확장된 권한 권한을 가질 수 있습니다. 이 권한이 있는 사용자는 기밀 특성을 읽을 수 있고 모든 Windows LAPS 암호 특성은 기밀로 표시되므로 이 상황은 문제가 됩니다.
다음 코드와 같이 cmdlet을 Find-LapsADExtendedRights 사용하여 이 권한이 있는 사용자를 확인할 수 있습니다.
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
출력에서 신뢰할 수 있는 엔터티 SYSTEM 및 Domain Admins만 권한이 있습니다. 이 경우 다른 작업이 필요하지 않습니다.
디바이스 정책 구성
다음 섹션에서는 디바이스 정책을 구성하는 방법을 보여줍니다.
정책 배포 메커니즘 선택
첫 번째 단계는 디바이스에 대한 정책 적용 방법을 선택하는 것입니다.
대부분의 환경에서는 Windows LAPS 그룹 정책을 사용하여 Windows Server Active Directory 도메인 조인 디바이스에 필요한 설정을 배포합니다.
If your devices are also hybrid-joined to Microsoft Entra ID, you can deploy policy by using Microsoft Intune with the Windows LAPS configuration service provider (CSP).
특정 정책 구성
최소한 BackupDirectory 설정을 2 값으로 구성해야 합니다. 이 값은 Windows Server Active Directory에 암호를 백업하는 데 사용됩니다.
설정을 구성 AdministratorAccountName 하지 않으면 Windows LAPS는 기본적으로 기본 제공 로컬 관리자 계정을 관리합니다. 이 기본 제공 계정은 잘 알려진 RID(상대 식별자)를 사용하여 자동으로 식별됩니다. 이름을 사용하여 식별해서는 안 됩니다. 기본 제공 로컬 관리자 계정의 이름은 디바이스의 기본 로캘에 따라 달라집니다.
사용자 지정 로컬 관리자 계정을 구성하려면 해당 계정의 이름으로 설정을 구성 AdministratorAccountName 해야 합니다.
Important
사용자 지정 로컬 관리자 계정을 관리하도록 Windows LAPS를 구성하는 경우 계정이 만들어졌는지 확인해야 합니다. Windows LAPS는 계정을 만들지 않습니다. We recommend that you use the RestrictedGroups CSP to create the account.
조직에 필요한 대로 다른 설정(예 PasswordLength: )을 구성할 수 있습니다.
지정된 설정을 구성하지 않으면 기본값이 적용됩니다. 설정의 기본값을 이해해야 합니다. 예를 들어 암호 암호화를 사용하도록 설정하지만 설정을 구성 ADPasswordEncryptionPrincipal 하지 않으면 도메인 관리자만 암호를 해독할 수 있도록 암호가 암호화됩니다. 도메인 관리자 외에 사용자가 암호를 해독할 수 있도록 하려면 다른 설정으로 구성할 ADPasswordEncryptionPrincipal 수 있습니다.
Windows Server Active Directory에서 암호 업데이트
Windows LAPS는 1시간마다 활성 정책을 처리합니다. Windows LAPS가 그룹 정책 변경 알림에 응답하므로 처리 주기를 수동으로 시작할 수도 있습니다.
Windows Server Active Directory에서 암호가 성공적으로 업데이트되었는지 확인하려면 이벤트 로그에서 ID가 10018인 이벤트를 확인합니다.
정책을 적용한 후 대기하지 않도록 하려면 PowerShell cmdlet을 Invoke-LapsPolicyProcessing 실행하여 정책을 즉시 처리할 수 있습니다.
Windows Server Active Directory에서 암호 검색
다음 코드와 Get-LapsADPassword 같이 cmdlet을 사용하여 Windows Server Active Directory에서 암호를 검색할 수 있습니다.
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
이 출력에서 줄은 Source 암호 암호화가 사용하도록 설정되어 있음을 나타냅니다. 암호 암호화를 사용하려면 도메인이 Windows Server 2016 이상 DFL용으로 구성되어야 합니다.
암호 쿼리에 대한 액세스가 거부된 경우 암호 읽기 권한을 조정할 수 있습니다. 암호 쿼리 권한 부여를 참조하세요.
암호 회전
Windows LAPS는 각 정책 처리 주기 동안 Windows Server Active Directory에서 암호 만료 시간을 읽어 들입니다. 암호가 만료되면 새 암호가 생성되고 즉시 저장됩니다.
경우에 따라 예를 들어 보안 위반 후 또는 즉석 테스트 중에 암호를 일찍 회전할 수 있습니다. 수동으로 암호 순환을 강제 적용하려면 Reset-LapsPassword cmdlet을 사용할 수 있습니다.
cmdlet을 Set-LapsADPasswordExpirationTime 사용하여 Windows Server Active Directory에 저장된 예약된 암호 만료 시간을 설정할 수 있습니다. 다음 코드는 만료 시간을 현재 시간으로 설정합니다.
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
다음에 Windows LAPS가 현재 정책을 처리할 때 수정된 암호 만료 시간을 확인하고 암호를 회전합니다. 다음 처리 주기를 기다리지 않으려면 cmdlet을 Invoke-LapsPolicyProcessing 실행하여 정책을 즉시 처리할 수 있습니다.
Reset-LapsPassword cmdlet을 사용하여 로컬로 암호의 즉시 순환을 강제 적용할 수 있습니다.
Windows Server Active Directory 재해 복구 시나리오 중 암호 검색
Windows LAPS 암호(DSRM 암호 포함)를 검색하려면 일반적으로 하나 이상의 Windows Server Active Directory 도메인 컨트롤러를 사용할 수 있어야 합니다. 치명적인 시나리오에서 도메인의 모든 도메인 컨트롤러가 다운될 수 있습니다. 이러한 상황에서 암호를 복구하려면 어떻게 해야 하나요?
Windows Server Active Directory 관리에 대한 모범 사례는 모든 도메인 컨트롤러를 정기적으로 백업하는 것이 좋습니다. PowerShell cmdlet을 사용하고 Get-LapsADPassword 매개 변수를 지정하여 탑재된 백업 Windows Server Active Directory 데이터베이스에 저장된 Windows LAPS 암호를 쿼리할 -Port 수 있습니다.
Windows 참가자 빌드 27695 이상에서 Get-LapsADPassword cmdlet은 암호 검색 기능이 향상되었습니다. 특히 Get-LapsADPassword cmdlet을 사용하고 -Port 및 -RecoveryMode 매개 변수를 모두 지정하면 도메인 컨트롤러에 연결할 필요 없이 암호 복구가 성공적으로 이루어집니다. 또한 작업 그룹(도메인에 가입되지 않은) 컴퓨터에서 이 모드로 실행할 Get-LapsADPassword 수 있습니다. 이 기능은 클라이언트 및 서버 운영 체제에서 사용할 수 있습니다.
Tip
이 유틸리티를 dsamain.exe 사용하여 Windows Server Active Directory 백업 미디어를 탑재하고 LDAP(Lightweight Directory Access Protocol)를 통해 쿼리할 수 있습니다. 도구는 dsamain.exe 기본적으로 설치되지 않으므로 추가해야 합니다. cmdlet을 Enable-WindowsOptionalFeature 사용하여 사용하도록 설정할 수 있습니다.
- Windows 클라이언트 컴퓨터에서 실행할
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Client수 있습니다. - Windows Server 컴퓨터에서 실행할
Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM수 있습니다.
다음 코드는 포트 50000에 로컬로 탑재된 Windows Server Active Directory 백업 데이터베이스에 저장된 Windows LAPS 암호를 쿼리합니다.
PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName : LAPSDC
DistinguishedName : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account : Administrator
Password : <password>
PasswordUpdateTime : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source : EncryptedDSRMPassword
DecryptionStatus : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197
Important
작업 그룹 컴퓨터에 AuthorizedDecryptor 탑재된 Windows Server Active Directory 백업 데이터베이스에서 암호화된 Windows LAPS 암호를 검색하는 경우 필드는 항상 원시 SID(보안 식별자) 형식으로 표시됩니다. 작업 그룹 컴퓨터에서 SID를 친숙한 이름으로 변환할 수 없습니다.
See also
- Microsoft Entra ID(Azure AD)를 사용한 Windows 로컬 관리자 암호 솔루션 소개
- Microsoft Entra ID의 Windows 로컬 관리자 암호 솔루션
- RestrictedGroups CSP
- Microsoft Intune
- Windows LAPS에 대한 Microsoft Intune 지원
- Windows LAPS CSP
- Windows LAPS 문제 해결 지침