위임된 권한 구현

완료됨

여러분은 IT 보안 전문가로 구성된 업체에서 Contoso에 대해 작성한 보고서를 살펴보고 있습니다. Enterprise Admins 및 Domain Admins와 같은 높은 권한 그룹의 구성원인 사용자 계정에 시스템 및 데이터에 대한 모든 권한이 있음을 파악하여 해당 계정을 철저하게 보호해야 한다는 사실을 인식했습니다.

그러나 의무를 수행하려면 특정 관리자 권한이 필요한 사용자가 있습니다. 예를 들어 지원 센터 직원은 일반 사용자에 대한 암호를 재설정하고 계정을 잠금 해제할 수 있어야 하며, 일부 IT 직원은 클라이언트 또는 서버에 애플리케이션을 설치하거나 백업을 수행할 책임이 있습니다.

Active Directory 및 구성원 서버에는 Backup Operators와 Account Operators와 같이 미리 결정된 권한이 할당된 기본 제공 그룹이 있지만 해당 그룹이 사용자의 필요에 맞지 않을 수 있습니다. 이제 제한된 관리 액세스를 제공하는 최상의 방법을 결정해야 합니다.

제어 위임 마법사 사용

위임된 권한은 지정된 사용자나 그룹에 제한된 권한을 부여하는 방법을 제공합니다. 제어 위임 마법사를 사용하여 사용자 또는 그룹에 더욱 세부적인 권한을 위임할 수 있습니다. 마법사를 사용하여 사이트, 도메인 또는 조직 구성 단위 수준에서 사용 권한을 할당할 수 있습니다. 마법사에는 다음과 같은 미리 정의된 작업이 있으며 이를 할당할 수 있습니다.

• 사용자 계정 생성, 삭제, 관리
• 사용자 암호를 다시 설정하고 다음 로그인 시에 암호 변경 내용 적용
• 모든 사용자 정보 읽기
• 그룹 생성, 삭제, 관리
• 그룹 구성원 자격 변경
• 도메인에 컴퓨터 가입(도메인 수준에서만 사용 가능)
• 그룹 정책 링크 관리
• 정책 결과 집합 생성(계획)
• 정책 결과 집합 생성(로깅)
• inetOrgPerson 계정 생성, 삭제 및 관리
• inetOrgPerson 암호를 다시 설정하고 다음 로그온 시에 암호 변경 내용 적용
• 모든 inetOrgPerson 정보 읽기

사용자 지정 작업을 만들고 할당하는 사용 권한을 결합할 수도 있습니다.

제어 위임 마법사를 시작하려면 Active Directory 사용자 및 컴퓨터를 열고 제어를 위임하려는 OU(조직 구성 단위)를 찾습니다.

참고

도메인 개체에 대한 제어를 위임할 수도 있습니다.

팁

사이트에 대한 제어를 위임하려면 Active Directory 사이트 및 서비스 도구를 사용하여 제어를 위임합니다.

그런 후에 다음 절차를 사용합니다.

1. 마우스 오른쪽 단추를 클릭하거나 OU의 상황에 맞는 메뉴를 활성화하고 제어 위임을 선택한 후 다음을 선택합니다.

2. 제어 위임 마법사에서 제어를 위임하려는 사용자 또는 그룹을 선택하고 다음을 선택합니다.

   팁

   특정 사용자에게 권한을 할당하지 않아야 합니다. 대신 그룹에 사용자가 한 명뿐인 경우라도 그룹을 사용해야 합니다. 그래야 계속해서 더 쉽게 관리할 수 있습니다.

3. 위임할 작업 페이지에서 일반 작업 목록 중 하나를 선택하거나 위임할 사용자 지정 작업을 선택합니다. 예를 들어 사용자 계정을 관리하는 기능을 위임하려면 다음을 선택합니다.

   • 사용자 계정 생성, 삭제, 관리
   • 사용자 암호를 다시 설정하고 다음 로그온 시에 암호 변경 내용 적용
   • 모든 사용자 정보 읽기

4. 마침을 선택합니다.

중요

위임된 액세스 권한을 할당한 후에는 제어 위임 마법사를 사용하여 설정을 검토할 수 없습니다.

이전에 구성한 위임된 작업을 검토하려면 다음을 수행합니다.

1. Active Directory 사용자 및 컴퓨터의 메뉴에서 보기를 선택한 다음 고급 기능을 선택합니다.
2. 위임한 OU를 찾습니다. 마우스 오른쪽 단추를 클릭하거나 상황에 맞는 메뉴를 활성화하고 속성을 선택합니다.
3. OU 이름 속성 대화 상자에서 보안 탭을 선택한 다음 고급을 선택합니다.
4. 제어를 위임한 보안 주체를 찾고 권한을 검토합니다. 위임된 권한을 여기에서 변경할 수도 있습니다.

참고

제어 위임 마법사는 AD DS 개체에 대한 AD DS 사용 권한을 구성하기 위한 간단한 마법사 기반 인터페이스를 제공합니다.

데모

다음 비디오에서는 제어 위임 마법사를 사용하여 위임된 권한을 구현하는 방법을 보여 줍니다. 프로세스의 주요 단계는 다음과 같습니다.

1. Active Directory 사용자 및 컴퓨터를 엽니다.
2. 관리자 OU에서 Sales Managers라는 새 그룹을 생성합니다.
3. Sales Managers 그룹에 사용자를 추가합니다.
4. 영업 OU를 대상으로 제어 위임 마법사를 실행합니다.
5. 영업 OU에 대한 사용자 암호를 원래대로 설정하고 다음 로그온 시에 암호 변경 강요 권한을 Sales Managers 그룹에 할당합니다.
6. Sales Managers 그룹의 구성원으로 로그인하고 사용자가 연구 OU가 아니라 영업 OU의 사용자 암호를 다시 설정할 수 있는지 확인합니다.

빠른 검토

1.

Contoso IT 팀의 관리자 중 한 명이 IT 지원 내 소규모 팀에 컴퓨터 관리를 위임하려고 합니다. 컴퓨터는 모두 영업 부서에 있고 컴퓨터의 계정은 영업 OU에 있습니다. 모범 사례에 따라 관리자가 어떻게 진행해야 하나요?

영업 컴퓨터 관리 팀을 위한 그룹을 생성된 다음 영업 OU에서 해당 팀에 대한 사용자 지정 작업 위임을 생성합니다. 컴퓨터 개체에 대한 사용자 지정 작업입니다.

영업 컴퓨터 관리 팀을 위한 그룹을 생성된 다음 영업 OU에서 해당 팀에 대한 일반 작업 위임을 생성합니다.

영업 OU의 영업 컴퓨터 관리 팀 내 사용자를 위한 사용자 지정 작업 위임을 생성합니다. 컴퓨터 개체에 대한 사용자 지정 작업입니다.

작업을 확인하기 전에 모든 질문에 대답해야 합니다.