부록 C: Active Directory의 보호된 계정 및 그룹
부록 C: Active Directory의 보호된 계정 및 그룹
Active Directory 내에서 권한이 높은 계정 및 그룹의 기본 집합은 보호된 계정 및 그룹으로 간주됩니다. Active Directory의 대부분의 개체에서 Active Directory 개체를 관리하는 권한을 위임한 사용자는 특수 그룹의 멤버 자격을 수정할 수 있도록 권한을 변경하는 등 개체에 대한 사용 권한을 변경할 수 있습니다.
보호된 계정 및 그룹은 개체에 대한 사용 권한이 일관되게 유지되도록 하는 자동 프로세스를 통해 사용 권한을 설정하고 적용하는 특수 개체입니다. 이러한 권한은 Active Directory에서 개체를 다른 위치로 이동하는 경우에도 유지됩니다. 보호된 개체의 사용 권한을 수정하는 경우 기존 프로세스는 사용 권한이 기본값으로 빠르게 반환되도록 합니다.
보호된 그룹
다음 보안 계정 및 그룹은 Active Directory Domain Services에서 보호됩니다.
- Account Operators
- 관리자
- 관리자
- Backup Operators
- Domain Admins
- 도메인 컨트롤러 하나 이상
- Enterprise Admins
- krbtgt
- Print Operators
- Read-only Domain Controllers
- Replicator
- Schema Admins
- Server Operators
AdminSDHolder
AdminSDHolder 개체의 목적은 도메인의 보호된 계정 및 그룹에 대한 "템플릿" 권한을 제공하는 것입니다. 모든 Active Directory 도메인의 시스템 컨테이너에서 AdminSDHolder라는 개체가 자동으로 만들어집니다. 해당 경로는 CN=AdminSDHolder,CN=System,DC=<domain_component>,DC=<domain_component>?입니다.
Administrators 그룹은 Active Directory 도메인에서 대부분의 개체를 소유하지만 Domain Admins 그룹은 AdminSDHolder 개체를 소유합니다. 기본적으로 엔터프라이즈 관리자는 도메인의 Domain Admins 및 Administrators 그룹과 마찬가지로 도메인의 AdminSDHolder 개체를 변경할 수 있습니다. 또한 AdminSDHolder의 기본 소유자는 도메인의 Domain Admins 그룹이지만 관리자 또는 엔터프라이즈 관리자의 구성원은 개체의 소유권을 가져올 수 있습니다.
SDProp
SDProp은 도메인의 PDC 에뮬레이터(PDCE)를 보유하는 도메인 컨트롤러에서 기본적으로 60분마다 실행되는 프로세스입니다. SDProp은 도메인의 AdminSDHolder 개체에 대한 사용 권한을 도메인의 보호된 계정 및 그룹에 대한 사용 권한과 비교합니다. 보호된 계정 및 그룹에 대한 사용 권한이 AdminSDHolder 개체에 대한 사용 권한과 일치하지 않으면, SDProp이 보호된 계정 및 그룹에 대한 사용 권한이 도메인의 AdminSDHolder 개체와 일치하도록 재설정합니다.
보호된 그룹 및 계정에서 사용 권한 상속을 사용할 수 없습니다. 계정 및 그룹이 디렉터리의 다른 위치로 이동되더라도 새 부모 개체에서 사용 권한을 상속하지 않습니다. 부모 개체에 대한 사용 권한 변경이 AdminSDHolder의 사용 권한을 변경하지 않도록 AdminSDHolder 개체에서 상속을 사용할 수 없습니다.
SDProp 간격 변경
일반적으로 테스트 용도를 제외하고 SDProp이 실행되는 간격을 변경할 필요가 없습니다. SDProp 간격을 변경해야 하는 경우 도메인의 PDCE에서 regedit를 사용하여 HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters에서 AdminSDProtectFrequency DWORD 값을 추가하거나 수정합니다.
값 범위는 60~7200초(1분에서 2시간)입니다. 변경 내용을 제거하려면 AdminSDProtectFrequency 키를 삭제합니다. 키를 삭제하면 SDProp이 60분 간격으로 되돌아갑니다. 일반적으로 도메인 컨트롤러에서 LSASS 처리 오버헤드를 증가시킬 수 있으므로 프로덕션 도메인에서 이 간격을 줄이면 안 됩니다. 이 증가의 영향은 도메인의 보호된 개체 수에 따라 달라집니다.
수동으로 SDProp 실행
AdminSDHolder 변경 내용을 테스트하는 더 나은 방법은 SDProp을 수동으로 실행하는 것입니다. 그러면 작업이 즉시 실행되지만 예약된 실행에는 영향을 주지 않습니다. Ldp.exe 사용하거나 LDAP 수정 스크립트를 실행하여 SDProp를 강제로 실행할 수 있습니다. SDProp을 수동 실행하려면 다음 단계를 수행합니다.
Ldp.exe을 실행합니다.
Ldp 대화 상자에서 연결을 클릭하고, 연결을 클릭합니다.
연결 대화 상자에서 PDC 에뮬레이터(PDCE) 역할을 보유하는 도메인의 도메인 컨트롤러 이름을 입력하고 확인을 클릭합니다.
연결을 확인하려면 Dn: (RootDSE)가 다음 스크린샷과 유사하게 표시되는지 확인합니다. 그런 다음, Connection을 클릭하고 바인딩을 클릭합니다.
바인딩 대화 상자에서 rootDSE 개체를 수정할 수 있는 권한이 있는 사용자 계정의 자격 증명을 입력합니다. (해당 사용자로 로그온한 경우, 현재 로그온한 사용자로 바인딩을 선택할 수 있습니다) 확인을 클릭합니다.
바인딩 작업이 완료되면 찾아보기를 클릭, 수정을 클릭합니다.
수정 대화 상자에서 DN 필드를 비워 둡니다. 항목 속성 편집 필드에 RunProtectAdminGroupsTask를 입력하고, 값 필드에 1을 입력합니다. 입력을 클릭하여, 표시된 대로 항목 목록을 채웁니다.
채워진 수정 대화 상자에서 실행을 클릭하고 AdminSDHolder 개체에 대한 변경 내용이 해당 개체에 표시되는지 확인합니다.