기본 컨테이너 및 OU 관리 위임
모든 Active Directory 도메인에는 AD DS(Active Directory Domain Services)를 설치하는 동안 생성된 표준 컨테이너 및 OU(조직 구성 단위) 집합이 포함되어 있습니다. 여기에는 다음이 포함됩니다.
계층 구조의 루트 컨테이너 역할을 하는 도메인 컨테이너
기본 서비스 관리자 계정을 보유하는 기본 제공 컨테이너
도메인에서 만든 새 사용자 계정 및 그룹의 기본 위치인 사용자 컨테이너
도메인에서 만든 새 컴퓨터 계정 및 그룹의 기본 위치인 컴퓨터 컨테이너
도메인 컨트롤러 컴퓨터 계정에 대 한 컴퓨터 계정의 기본 위치인 도메인 컨트롤러 OU
포리스트 소유자는 이러한 기본 컨테이너 및 OU를 제어합니다.
도메인 컨테이너
도메인 컨테이너는 도메인 계층 구조의 루트 컨테이너입니다. 이 컨테이너의 정책 또는 ACL(액세스 제어 목록)을 변경하면 도메인 전체에 영향을 미칠 수 있습니다. 이 컨테이너의 제어는 위임하면 안 되며, 서비스 관리자가 제어해야 합니다.
사용자 및 컴퓨터 컨테이너
Windows Server 2003에서 Windows Server 2008로 현재 위치 도메인 업그레이드를 수행하면 기존 사용자 및 컴퓨터가 사용자 및 컴퓨터 컨테이너에 자동으로 배치됩니다. 신규 Active Directory 도메인을 만드는 경우, 사용자 및 컴퓨터 컨테이너는 도메인의 모든 새 사용자 계정 및 비 도메인 컨트롤러 컴퓨터 계정의 기본 위치입니다.
Important
사용자 또는 컴퓨터에 대한 제어를 위임해야 하는 경우 사용자 및 컴퓨터 컨테이너의 기본 설정을 수정하면 안 됩니다. 그 대신 필요에 따라 새 OU를 만들고 사용자 및 컴퓨터 개체를 기본 컨테이너에서 새 OU로 이동합니다. 필요에 따라 새 OU에 대한 제어를 위임합니다. 기본 컨테이너를 제어하는 사용자의 수정은 권장하지 않습니다.
또한, 기본 사용자 및 컴퓨터 컨테이너에는 그룹 정책 설정을 적용할 수 없습니다. 사용자 및 컴퓨터에 그룹 정책을 적용하려면, 새 OU를 만들고 사용자 및 컴퓨터 개체를 해당 OU로 이동합니다. 그룹 정책 설정을 새 OU에 적용합니다.
기본 컨테이너에 배치되는 개체 생성을 리디렉션하여 원하는 컨테이너에 배치할 수도 있습니다.
잘 알려진 사용자 및 그룹 및 기본 제공 계정
기본적으로, 잘 알려진 여러 사용자 및 그룹 및 기본 제공 계정이 새 도메인에 만들어집니다. 이러한 계정의 관리는 서비스 관리자의 통제 하에 둘 것을 권장합니다. 서비스 관리자가 아닌 개인에게 이러한 계정의 관리를 위임해서는 안 됩니다. 다음 표에서는 서비스 관리자의 제어를 유지해야 하는 잘 알려진 사용자 및 그룹 및 기본 제공 계정을 나열합니다.
| 잘 알려진 사용자 및 그룹 | 기본 제공되는 계정 |
|---|---|
| Cert Publishers 도메인 컨트롤러 하나 이상 Group Policy Creator Owners KRBTGT 도메인 게스트 관리자 Domain Admins 스키마 관리자(포리스트 루트 도메인에만 해당) 엔터프라이즈 관리자(포리스트 루트 도메인에만 해당) 도메인 사용자 |
관리자 게스트 게스트 Account Operators 관리자 Backup Operators Incoming Forest Trust Builders Print Operators Windows 2000 이전 버전 호환 액세스 Server Operators 사용자 |
도메인 컨트롤러 OU
도메인 컨트롤러가 도메인에 추가되면 해당 컴퓨터 개체가 도메인 컨트롤러 OU에 자동으로 추가됩니다. 이 OU에는 기본 정책 집합이 적용되어 있습니다. 이러한 정책이 모든 도메인 컨트롤러에 균일하게 적용되도록 하려면, 도메인 컨트롤러의 컴퓨터 개체를 이 OU에서 이동하는 것을 권장하지 않습니다. 기본 정책을 적용하지 않으면 도메인 컨트롤러가 제대로 작동하지 않을 수 있습니다.
기본적으로 서비스 관리자는 이 OU를 제어합니다. 서비스 관리자 이외의 개인에게 이 OU의 제어를 위임하지 마세요.