Windows LAPS 계정 관리 모드
Windows LAPS(Windows Local 관리istrator Password Solution)에서 지원하는 다양한 계정 관리 모드에 대해 알아봅니다.
Important
Windows LAPS 자동 계정 관리 기능은 Windows Server 2025 이상에서 지원됩니다.
개요
Windows LAPS의 주요 목적은 로컬 Windows 계정의 암호를 정기적으로 회전하는 것입니다. 이 계정은 기본 제공 관리istrator 계정 또는 사용자 지정 새 계정일 수 있습니다. IT 관리자는 대상 계정을 구성하고 관리하기 위해 선택할 수 있는 두 가지 모드인 수동 및 자동 모드가 있습니다. 두 모드 모두 장단점이 있습니다.
대상 계정을 관리하는 데 사용할 수 있는 두 가지 모드가 있습니다.
수동 계정 관리 모드는 기본 모드입니다. 수동 모드에서 IT 관리자는 Windows LAPS가 관리하고 제어하는 암호를 제외한 관리되는 계정의 모든 측면을 구성합니다.
자동 계정 관리 모드는 선택적 모드입니다. 자동 모드에서 Windows LAPS는 필요에 따라 기본 계정 만들기 및 삭제와 계정의 암호를 포함하여 관리되는 계정의 모든 측면을 구성합니다.
수동 계정 관리 모드
수동 모드는 기본 모드입니다. IT 관리자는 기본 제공 관리istrator 계정 또는 사용자 지정 새 계정을 대상으로 지정할지 여부를 선택할 수 있습니다. 이 선택은 관리istratorAccountName 정책 설정을 통해 구성됩니다. 관리istratorAccountName 설정이 비어 있으면 기본 제공 관리istrator 계정이 관리되고, 그렇지 않으면 관리istratorAccountName은 사용자 지정 로컬 계정의 이름을 지정합니다.
사용자 지정 로컬 계정을 지정하면 IT 관리자는 Windows LAPS를 사용하도록 설정하기 전에 해당 계정을 만들 책임이 있습니다. Windows LAPS는 이 모드에서 계정을 만들지 않습니다.
이 모드에서는 대상 계정의 암호 가 우발적이거나 부주의한 변조로부터 보호됩니다. 다른 모든 계정 구성 변경이 허용됩니다.
자동 계정 관리 모드
자동 모드는 기본 모드가 해제되어 있습니다. 사용하도록 설정되면 IT 관리자는 다음 구성 세부 정보 중에서 선택할 수 있습니다.
- 기본 제공 관리istrator 계정 또는 사용자 지정 새 계정을 대상으로 할지 여부
- 계정의 이름
- 계정을 사용하거나 사용하지 않도록 설정할지 여부
- 계정 이름을 임의로 지정할지 여부
자동 계정 구성 세부 정보
자동 모드를 사용하도록 설정하면 관리되는 계정은 다음과 같이 구성됩니다.
- 계정은 로컬 관리istrators 그룹의 구성원으로 만들어집니다.
- 암호가 필요하지 않은 설정을 사용할 수 없습니다.
- 암호 만료 안 함 플래그를 사용할 수 없습니다.
- 계정 설명은 Windows LAPS가 계정을 제어하고 있음을 나타내도록 수정됩니다.
로컬 계정 관리 정책과 통합
Windows는 Windows 로컬 그룹의 멤버 자격을 관리하기 위한 여러 정책을 지원합니다.
- RestrictedGroups 정책 CSP
- LocalUsersAndGroups 정책 CSP
- 로컬 사용자 및 그룹(그룹 정책)
- 제한된 그룹(그룹 정책)
위의 각 정책은 지정된 로컬 그룹의 모든 멤버를 강제로 제거하는 데 사용할 수 있는 구성 모드를 지원합니다. 이제 위의 정책은 로컬 관리istrators 그룹에서 Windows LAPS 자동으로 관리되는 계정을 제거하려는 시도를 무시합니다.
계정 변조 보호
계정 변조 보호는 자동 모드에서 확장됩니다. Windows LAPS는 자동으로 관리되는 계정의 모든 구성 측면을 제어합니다. 관리되는 계정을 수정하려는 외부 시도가 차단됩니다. IT 관리자는 관리되는 계정을 수정하려는 정책이나 스크립트를 작성해서는 안 됩니다.
Windows LAPS는 (0xC000A08B) 또는 ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654) 오류로 STATUS_POLICY_CONTROLLED_ACCOUNT 계정을 수정하려는 예기치 않은 시도를 거부합니다. 각 거부에는 Windows LAPS 이벤트 로그 채널에 연결된 이벤트가 있습니다. 이벤트 10101-10104는 요청된 수정 유형(기본 수정, 보안 설명자 수정, 삭제 또는 로컬 관리이스트레이터 그룹에서 제거)에 해당하여 기록됩니다.
모드 선택
수동 모드는 대상 계정의 고유 및 세부 구성이 필요한 상황에 가장 적합합니다.
자동 모드는 덜 세부적인 요구 사항이 있는 상황에 가장 적합합니다. 예를 들어 관리되는 계정만 사용할 수 있고 기본 구성에서 사용할 수 있도록 준비해야 관리. 자동 모드는 사용자 지정 새 계정 만들기도 지원합니다.
| 기능 | 수동 모드 | 자동 모드 |
|---|---|---|
| Windows LAPS에서 제어하는 암호 | 예 | 예 |
| IT 관리자는 계정을 사용자 지정할 수 있습니다. | 예 | 아니요 |
| 자동 계정 만들기 지원 | 예 | 예 |
| 자동 계정 이름 지정 지원 | 예 | 예 |
| 자동 계정 사용 설정\사용 안 함 지원 | 예 | 예 |
| 자동 계정 이름 임의화 지원 | 예 | 예 |
| 로컬 계정 정책과의 통합 지원 | 예 | 예 |
디렉터리 서비스 복구 모드 계정 관리
Windows LAPS는 할 일기본 컨트롤러에서 DSRM(Directory Services 복구 모드 계정)의 암호 관리를 지원합니다. 이 문서에 설명된 수동 및 자동 계정 관리 모드는 DSRM 계정에 적용되지 않습니다.
참고 항목
다음 단계
이제 다른 계정 관리 모드를 이해했으므로 이러한 다른 섹션을 살펴보세요.