부록 E: Active Directory의 Enterprise Admins 그룹 보안

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

부록 E: Active Directory의 Enterprise Admins 그룹 보안

포리스트 루트 도메인에 있는 EA(엔터프라이즈 관리자) 그룹에는 부록 D: Active Directory의 기본 제공 관리자 계정 보안에설명된 대로 보안이 유지되는 경우 루트 도메인의 관리자 계정을 제외하고 매일 사용자가 포함되어서는 안 됩니다.

엔터프라이즈 관리자는 기본적으로 포리스트의 각 도메인에 있는 Administrators 그룹의 구성원입니다. 포리스트 재해 복구 시나리오의 경우 EA 권한이 필요할 수 있으므로 각 도메인의 관리자 그룹에서 EA 그룹을 제거해서는 안 됩니다. 포리스트의 엔터프라이즈 관리자 그룹은 다음 단계별 지침에 자세히 설명된 대로 보호되어야 합니다.

포리스트의 엔터프라이즈 관리자 그룹의 경우:

  1. 각 도메인의 구성원 서버 및 워크스테이션을 포함하는 OU에 연결된 GPO에서 엔터프라이즈 관리자 그룹을 Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments의 다음과 같은 사용자 권한에 추가해야 합니다.

    • 네트워크에서 이 컴퓨터 액세스 거부

    • 일괄 작업으로 로그온 거부

    • 서비스로 로그온 거부

    • 로컬 로그온 거부

    • 원격 데스크톱 서비스를 통한 로그온 거부

  2. 엔터프라이즈 관리자 그룹의 속성 또는 구성원 자격에 대한 수정 사항이 있는 경우 경고를 보내도록 감사를 구성해야 합니다.

엔터프라이즈 관리자 그룹에서 모든 구성원을 제거하기 위한 단계별 지침

  1. 먼저 서버 관리자에서 도구, Active Directory 사용자 및 컴퓨터를 차례로 클릭합니다.

  2. 포리스트의 루트 도메인을 관리하지 않는 경우 콘솔 트리에서 <도메인>을 오른쪽 클릭한 다음, 도메인 변경을 클릭합니다. (여기서 <도메인은> 현재 관리 중인 도메인의 이름).

    도메인 변경 메뉴 옵션을 강조 표시하는 스크린샷

  3. 도메인 변경 변경 대화 상자에서 찾아보기를 클릭, 포리스트의 루트 도메인을 선택한 다음 확인을 클릭합니다.

    도메인 변경 대화 상자의 확인 단추를 보여 주는 스크린샷

  4. EA 그룹에서 모든 멤버를 제거하려면 다음을 수행합니다.

    1. 엔터프라이즈 관리자 그룹을 더블 클릭, 구성원 탭을 클릭합니다.

      엔터프라이즈 관리자 그룹 내의 구성원 탭을 보여 주는 스크린샷.

    2. 그룹 구성원을 선택하고 제거를 클릭한 다음 를 클릭하고 확인을 클릭합니다.

  5. EA 그룹의 모든 멤버가 제거될 때까지 2단계를 반복합니다.

Active Directory에서 엔터프라이즈 관리자를 보호하기 위한 단계별 지침

  1. 서버 관리자에서 도구를 클릭한 다음 그룹 정책 관리를 클릭합니다.

  2. 콘솔 트리에서 <포리스트>\도메인\<도메인>, 그룹 정책 개체(여기서 <포리스트>은 포리스트의 이름이고 <도메인>은 그룹 정책을 설정하려는 도메인의 이름입니다)을 차례로 확장합니다.

    참고 항목

    여러 도메인이 포함된 포리스트에서 엔터프라이즈 관리자 그룹을 보호해야 하는 각 도메인에 유사한 GPO를 만들어야 합니다.

  3. 콘솔 트리에서 그룹 정책 개체를 오른쪽 클릭하여 새로 만들기를 클릭합니다.

    그룹 정책 개체 메뉴의 새 메뉴 옵션을 보여 주는 스크린샷

  4. 새 GPO 대화 상자에서 <GPO 이름>을 입력하고 확인을 클릭합니다(여기서 <GPO 이름>은 이 GPO의 이름입니다).

    GPO 이름을 입력하고 원본 시작 GPO를 선택할 위치를 보여 주는 스크린샷

  5. 세부 정보 창에서 <GPO 이름>을 마우스 오른쪽 버튼으로 클릭하고 편집을 클릭합니다.

  6. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책으로 이동하여 \사용자 권한 할당을 클릭합니다.

    사용자 권한 할당을 선택할 위치를 보여 주는 스크린샷입니다.

  7. 다음을 수행하여 엔터프라이즈 관리자 그룹의 구성원이 네트워크를 통해 멤버 서버 및 워크스테이션에 액세스하지 못하도록 사용자 권한을 구성합니다.

    1. 네트워크에서 이 컴퓨터에 대한 액세스 거부를 더블 클릭하여 해당 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하여 찾아보기를 클릭합니다.

    3. 엔터프라이즈 관리자를 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      엔터프라이즈 관리자 그룹의 구성원이 네트워크를 통해 멤버 서버 및 워크스테이션에 액세스하지 못하도록 사용자 권한을 구성했는지 확인하는 방법을 보여 주는 스크린샷.

    4. 확인을 클릭, 확인을 다시 클릭합니다.

  8. 다음을 수행하여 엔터프라이즈 관리자 그룹의 멤버가 일괄 작업으로 로그온하지 못하도록 사용자 권한을 구성합니다.

    1. 일괄 작업으로 로그온 거부를 더블 클릭하여 해당 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하여 찾아보기를 클릭합니다.

      참고 항목

      여러 도메인이 포함된 포리스트에서 위치를 클릭, 포리스트의 루트 도메인을 선택합니다.

    3. 엔터프라이즈 관리자를 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      엔터프라이즈 관리자 그룹의 구성원이 일괄 작업으로 로그온하지 못하도록 사용자 권한을 구성했는지 확인하는 방법을 보여 주는 스크린샷.

    4. 확인을 클릭, 확인을 다시 클릭합니다.

  9. 다음을 수행하여 EA 그룹의 멤버가 서비스로 로그온하지 못하도록 사용자 권한을 구성합니다.

    1. 서비스로 로그온 거부를 더블 클릭하여 해당 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭한 뒤, 찾아보기를 클릭합니다.

      참고 항목

      여러 도메인이 포함된 포리스트에서 위치를 클릭, 포리스트의 루트 도메인을 선택합니다.

    3. 엔터프라이즈 관리자를 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      EA 그룹의 구성원이 서비스로 로그온하지 못하도록 사용자 권한을 구성했는지 확인하는 방법을 보여 주는 스크린샷.

    4. 확인을 클릭, 확인을 다시 클릭합니다.

  10. 다음을 수행하여 엔터프라이즈 관리자 그룹의 구성원이 멤버 서버 및 워크스테이션에 로컬로 로그온하지 못하도록 사용자 권한을 구성합니다.

    1. 로그온 거부를 더블 클릭하고, 이 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭한 뒤, 찾아보기를 클릭합니다.

      참고 항목

      여러 도메인이 포함된 포리스트에서 위치를 클릭, 포리스트의 루트 도메인을 선택합니다.

    3. 엔터프라이즈 관리자를 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      엔터프라이즈 관리자 그룹의 구성원이 멤버 서버 및 워크스테이션에 로컬로 로그온하지 못하도록 사용자 권한을 구성했는지 확인하는 방법을 보여 주는 스크린샷

    4. 확인을 클릭, 확인을 다시 클릭합니다.

  11. 다음을 수행하여 엔터프라이즈 관리자 그룹의 구성원이 원격 데스크톱 서비스를 통해 멤버 서버 및 워크스테이션에 액세스하지 못하도록 사용자 권한을 구성합니다.

    1. 원격 데스크톱 서비스를 통한 로그온 거부를 더블 클릭하여 해당 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭한 뒤, 찾아보기를 클릭합니다.

      참고 항목

      여러 도메인이 포함된 포리스트에서 위치를 클릭, 포리스트의 루트 도메인을 선택합니다.

    3. 엔터프라이즈 관리자를 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

      엔터프라이즈 관리자 그룹의 구성원이 원격 데스크톱 서비스를 통해 멤버 서버 및 워크스테이션에 액세스하지 못하도록 사용자 권한을 구성했는지 확인하는 방법을 보여 주는 스크린샷

    4. 확인을 클릭, 확인을 다시 클릭합니다.

  12. 그룹 정책 관리 편집기를 종료하려면 파일을 클릭하고 종료를 클릭합니다.

  13. 그룹 정책 관리에서 다음을 수행하여 GPO를 멤버 서버 및 워크스테이션 OU에 연결합니다.

    1. <포리스트>\도메인\<도메인>으로 이동합니다(여기서 <포리스트>은 포리스트의 이름이고 <도메인>은 그룹 정책을 설정하려는 도메인의 이름입니다).

    2. GPO가 적용될 OU를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결을 클릭합니다.

      기존 GPO 메뉴 연결 옵션을 강조 표시하는 스크린샷

    3. 방금 생성한 GPO를 선택하고 확인을 클릭합니다.

      방금 만든 GPO를 선택할 위치를 나타낸 스크린샷입니다.

    4. 워크스테이션을 포함하는 다른 모든 OU에 대한 링크를 만듭니다.

    5. 멤버 서버를 포함하는 다른 모든 OU에 대한 링크를 만듭니다.

    6. 여러 도메인이 포함된 포리스트에서 엔터프라이즈 관리자 그룹을 보호해야 하는 각 도메인에 유사한 GPO를 만들어야 합니다.

Important

점프 서버를 사용하여 도메인 컨트롤러 및 Active Directory를 관리하는 경우 점프 서버가 이 GPO가 연결되지 않은 OU에 있는지 확인합니다.

확인 단계

"네트워크에서 이 컴퓨터 액세스 거부" GPO 설정 확인

GPO 변경 내용(예: "점프 서버")의 영향을 받지 않는 멤버 서버 또는 워크스테이션에서 GPO 변경의 영향을 받는 네트워크를 통해 멤버 서버 또는 워크스테이션에 액세스하려고 시도합니다. GPO 설정을 확인하려면 NET USE을 사용하여 다음 단계를 수행하여 시스템 드라이브를 매핑합니다.

  1. EA 그룹의 구성원인 계정을 사용하여 로컬 로그온 합니다.

  2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참(Charms) 바가 나타나면 검색을 클릭합니다.

  3. 검색 상자에 명령 프롬프트를 입력하고, 명령 프롬프트를 오른쪽 클릭한 다음, 관리자 권한으로 실행을 클릭하여 관리자 권한 명령 프롬프트를 엽니다.

  4. 권한 상승을 승인를 묻는 메시지가 나타나면 클릭 합니다.

    권한 상승을 승인하는 대화 상자를 보여 주는 스크린샷.

  5. 명령 프롬프트 창에 넷 사용 \\<서버 이름>\c$을 입력합니다. 여기서 <서버 이름>은 네트워크를 통해 액세스하려는 구성원 서버 또는 워크스테이션의 이름입니다.

  6. 다음 스크린샷은 표시되어야 하는 오류 메시지를 보여줍니다.

    표시되어야 하는 오류 메시지를 보여주는 스크린샷입니다.

"일괄 작업으로 로그온 거부" GPO 설정 확인

GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

일괄 작업을 만듭니다.

  1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참(Charms) 바가 나타나면 검색을 클릭합니다.

  2. 검색 상자에 메모장을 입력하고, 메모장을 클릭합니다.

  3. 메모장에서 dir c:를 입력합니다.

  4. 파일을 클릭한 다음, 다른 이름으로 저장을 클릭합니다.

  5. 파일 이름 상자에 <Filename>.bat를 입력합니다(여기서 <파일이름>은 새 일괄 처리 파일의 이름).

작업 예약하기

  1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참(Charms) 바가 나타나면 검색을 클릭합니다.

  2. 검색 상자에 작업 스케줄러를 입력, 작업 스케줄러를 클릭합니다.

    참고 항목

    Windows 8을 실행하는 컴퓨터의 검색 상자에 작업 예약하기를 입력, 작업 예약을 클릭합니다.

  3. 작업을 클릭하고, 작업 만들기를 클릭합니다.

  4. 작업 만들기 대화 상자에서 <작업 이름>을 입력합니다(여기서 <작업 이름은> 새 작업의 이름).

  5. 작업 탭, 새로 만들기를 차례로 클릭합니다.

  6. 작업 필드에서, 프로그램 시작을 선택합니다.

  7. 프로그램/스크립트에서 찾아보기를 클릭하고 배치 파일 만들기 섹션에서 생성한 배치 파일을 찾아 선택한 후 열기를 클릭합니다.

  8. 확인을 클릭합니다.

  9. 일반 탭을 클릭합니다.

  10. 보안 옵션 필드에서 사용자 또는 그룹 변경을 클릭합니다.

  11. EA 그룹의 구성원인 계정의 이름을 입력하고, 이름 확인을 클릭한 다음, 확인을 클릭합니다.

  12. 사용자가 로그온했는지 여부에 관계없이 실행을 선택하고, 암호 저장 안 함을 선택합니다. 작업은 로컬 컴퓨터 리소스에만 액세스할 수 있습니다.

  13. 확인을 클릭합니다.

  14. 사용자 계정 자격 증명을 요청하여 작업을 실행하도록 요청하는 대화 상자가 나타납니다.

  15. 자격 증명을 입력한 후 확인을 클릭합니다.

  16. 다음과 비슷한 대화 상자가 나타납니다.

    작업 스케줄러 대화 상자를 보여 주는 스크린샷.

"서비스로 로그온 거부" GPO 설정 확인

  1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

  2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참(Charms) 바가 나타나면 검색을 클릭합니다.

  3. 검색 상자에 services 를 입력하고 서비스를 클릭합니다.

  4. 인쇄 스풀러를 찾아 더블 클릭합니다 .

  5. 로그온 탭을 클릭합니다.

  6. 이 계정으로 로그온에서 이 계정을 선택합니다.

  7. 찾아보기를 클릭하여, EA 그룹의 구성원인 계정의 이름을 입력하고, 이름 확인을 클릭하고, 확인을 클릭합니다.

  8. 암호:암호 확인에서 선택한 계정의 암호를 입력하고 확인을 클릭합니다.

  9. 확인을 세 번 혹은 그 이상 클릭합니다.

  10. 인쇄 스풀러 서비스를 오른쪽 클릭, 다시 시작을 선택합니다.

  11. 서비스를 다시 시작하면 다음과 유사한 대화 상자가 나타납니다.

    Windows에서 인쇄 스풀러 서버를 시작할 수 없다는 메시지를 보여 주는 스크린샷

프린터 스풀러 서비스로 변경 내용 되돌리기

  1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

  2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참(Charms) 바가 나타나면 검색을 클릭합니다.

  3. 검색 상자에 services 를 입력하고 서비스를 클릭합니다.

  4. 인쇄 스풀러를 찾아 더블 클릭합니다 .

  5. 로그온 탭을 클릭합니다.

  6. 이 계정으로 로그온에서 로컬 시스템 계정을 선택, 확인을 클릭합니다.

"로컬로 로그온 거부" GPO 설정 확인

  1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 EA 관리자 그룹의 구성원인 계정을 사용하여 로컬로 로그온합니다. 다음과 비슷한 대화 상자가 나타납니다.

    사용하려는 로그인 방법이 허용되지 않음을 보여주는 메시지의 스크린샷

"원격 데스크톱 서비스를 통한 로그온 거부" GPO 설정 확인

  1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참(Charms) 바가 나타나면 검색을 클릭합니다.

  2. 검색 상자에 원격 데스크톱 연결을 입력하고, 원격 데스크톱 연결을 클릭합니다.

  3. 컴퓨터 필드에 연결할 컴퓨터의 이름을 입력하고 나서, 연결을 클릭합니다. (컴퓨터 이름 대신 IP 주소를 입력할 수도 있습니다.)

  4. 메시지가 표시되면 EA 그룹의 구성원인 계정에 대한 자격 증명을 제공합니다.

  5. 다음과 비슷한 대화 상자가 나타납니다.

    엔터프라이즈 관리자 그룹 보안