다음을 통해 공유

위임 관리 서비스 계정 개요

원래 서비스 계정 암호를 사용하지 않도록 설정하면서 기존 서비스 계정에서 관리형 및 완전 임의 키가 있는 컴퓨터 계정으로 마이그레이션할 수 있도록 하는 DMSA(위임된 관리 서비스 계정)라는 새 계정 유형이 Windows Server 2025에 도입되었습니다. dMSA에 대한 인증은 디바이스 ID에 연결됩니다. 즉, AD(Active Directory)에 매핑된 지정된 컴퓨터 ID만 계정에 액세스할 수 있습니다. dMSA를 사용하면 기존 서비스 계정에서 흔히 발생하는 문제인 손상된 계정을 사용한 자격 증명 수집(kerberoasting)을 방지할 수 있습니다.

dMSA 및 gMSA 비교

dMSA와 gMSA는 Windows Server에서 서비스 및 응용 프로그램을 실행하는 데 사용되는 두 가지 유형의 관리 서비스 계정입니다. dMSA는 관리자가 관리하며 특정 서버에서 서비스 또는 애플리케이션을 실행하는 데 사용됩니다. gMSA는 AD에서 관리하며 여러 서버에서 서비스 또는 애플리케이션을 실행하는 데 사용됩니다. 두 가지 모두 향상된 보안과 간소화된 비밀번호 관리 기능을 제공합니다. dMSA는 다음과 같이 다릅니다.

  • gMSA 개념을 활용하여 Credential Guard를 사용하여 컴퓨터 인증을 바인딩하는 사용 범위를 제한합니다.
  • CG를 사용하면 비밀번호를 자동으로 회전하고 모든 서비스 계정 티켓을 바인딩하여 dMSA의 보안을 강화할 수 있습니다. 그런 다음 레거시 계정을 비활성화하여 보안을 더욱 강화합니다.
  • gMSA는 기계 생성 및 자동화된 비밀번호로 보안이 유지되지만, 비밀번호는 여전히 기계에 구속되지 않으며 도용될 수 있습니다.

dMSA의 기능

dMSA를 사용하면 독립형 계정으로 만들거나 기존 표준 서비스 계정을 대체할 수 있습니다. dMSA가 기존 계정을 대체하면 해당 암호를 사용하여 기존 계정에 대한 인증이 차단됩니다. 요청은 이전 계정이 AD에서 액세스할 수 있는 모든 것에 액세스할 수 있는 dMSA를 사용하여 인증하기 위해 로컬 보안 기관(LSA)으로 리디렉션됩니다.

마이그레이션하는 동안 dMSA는 서비스 계정을 사용할 디바이스를 자동으로 학습한 다음 기존의 모든 서비스 계정에서 이동하는 데 사용합니다.

dMSA는 도메인 컨트롤러(DC)가 보유하고 있는 무작위 비밀(컴퓨터 계정 자격 증명에서 파생됨)을 사용하여 티켓을 암호화합니다. CG를 활성화하면 비밀을 더욱 안전하게 보호할 수 있습니다. dMSA에서 사용하는 비밀은 gMSA와 마찬가지로 주기적으로 업데이트되지만, 주요 차이점은 dMSA의 비밀은 DC가 아닌 다른 곳에서는 검색하거나 찾을 수 없다는 점입니다.

dMSA를 위한 마이그레이션 흐름

dMSA의 마이그레이션 흐름 프로세스에 대한 간략한 개념은 다음 단계를 포함합니다:

  1. CG 정책은 머신의 ID를 보호하도록 구성할 수 있습니다.
  2. 관리자가 서비스 계정 마이그레이션을 시작하고 완료합니다.
  3. 서비스 계정이 티켓 부여 서버(TGT)를 새로 고칩니다.
  4. 서비스 계정은 원칙을 허용하기 위해 머신 ID를 추가합니다.
  5. 원래 서비스 계정이 비활성화됩니다.

dMSA를 마이그레이션할 때는 다음 사항에 유의하세요.

  • 관리형 서비스 계정 또는 gMSA에서 dMSA로 마이그레이션할 수 없습니다.
  • SD(보안 설명자)를 수정한 후 최소 두 번의 티켓 수명 주기(14일에 해당)를 기다렸다가 dMSA 마이그레이션을 완료하세요. 티켓 수명 기간(28일) 동안 서비스를 시작 상태로 유지하는 것이 좋습니다. 온보딩 중에 DC가 파티션되거나 복제가 중단된 경우 마이그레이션을 지연하세요.
  • 복제 지연이 기본 티켓 갱신 시간인 10시간보다 긴 사이트에 주의를 기울이세요. 티켓을 갱신할 때마다, 그리고 '마이그레이션 시작' 상태에서 원래 서비스 계정이 로그온할 때마다 groupMSAMembership 속성이 확인 및 업데이트되어 dMSA의 groupMSAMembership에 머신 계정이 추가됩니다.
    • 예를 들어 두 사이트가 동일한 서비스 계정을 사용하며 각 복제 주기가 티켓 수명 주기당 10시간 이상 걸리는 경우입니다. 이 시나리오에서는 초기 복제 주기 동안 그룹 멤버십이 손실됩니다.
  • 마이그레이션하려면 SD를 쿼리하고 수정하기 위해 읽기-쓰기 도메인 컨트롤러(RWDC)에 액세스해야 합니다.
  • 이전 서비스 계정에서 사용 중이던 무제한 위임은 마이그레이션이 완료되면 작동이 중지됩니다. CG로 보호되는 dMSA를 사용하는 경우 제약되지 않은 위임은 작동을 중지합니다. 자세한 내용은 자격 증명 가드 사용 시 고려 사항 및 알려진 문제를 참조하세요.

Warning

dMSA로 마이그레이션하려는 경우 서비스 계정을 사용하는 모든 머신이 dMSA를 지원하도록 업데이트해야 합니다. 그렇지 않은 경우, 마이그레이션 중에 계정이 비활성화되면 기존 서비스 계정으로 인증에 실패하게 되며, dMSA를 지원하지 않는 머신은 인증에 실패합니다.

dMSA용 계정 속성

이 섹션에서는 AD 스키마에서 dMSA의 속성이 변경되는 방식에 대해 설명합니다. 이러한 속성은 Active Directory 사용자 및 컴퓨터 스냅인을 사용하거나 DC에서 ADSI 편집을 실행하여 볼 수 있습니다.

참고 항목

계정에 설정된 숫자 속성은 이를 나타냅니다:

  • 1 - 계정 마이그레이션이 시작되었습니다.
  • 2 - 계정 마이그레이션이 완료되었습니다.

Start-ADServiceAccountMigration을 실행하면 다음과 같은 변경 사항이 수행됩니다.

  • 서비스 계정에는 dMSA의 모든 속성에 대한 일반 읽기 권한이 부여됩니다.
  • 서비스 계정에 쓰기 속성이 msDS-groupMSAMembership에 부여됩니다.
  • msDS-DelegatedMSAState가 1로 변경됨
  • msDS-ManagedAccountPrecededByLink가 서비스 계정으로 설정됨
  • msDS-SupersededAccountState가 1로 변경됨
  • msDS-SupersededManagedServiceAccountLink가 dMSA로 설정됨

Complete-ADServiceAccountMigration을 실행하면 다음과 같은 변경 사항이 수행됩니다.

  • 서비스 계정이 일반 읽기에서 dMSA의 모든 속성으로 제거됩니다.
  • 서비스 계정이 쓰기 속성의 msDS-GroupMSAMembership 속성에서 제거됩니다.
  • msDS-DelegatedMSAState가 2로 설정됨
  • SPN(서비스 사용자 이름)은 서비스 계정에서 dMSA 계정으로 복사됩니다.
  • msDS-AllowedToDelegateTo는 해당하는 경우 복사됩니다.
  • 해당되는 경우 보안 설명자가 msDS-AllowedToActOnBehalfOfOtherIdentity로 복사됩니다.
  • 서비스 계정의 할당된 AuthN 정책인 msDS-AssignedAuthnPolicy가 복사됩니다.
  • 서비스 계정이 구성원이었던 AuthN 정책 사일로에 dMSA가 추가됩니다.
  • 신뢰할 수 있는 “위임을 위한 인증” 사용자 계정 컨트롤(UAC) 비트가 서비스 계정에 설정되어 있는 경우 복사됩니다.
  • msDS-SupersededServiceAccountState가 2로 설정됨
  • 서비스 계정은 UAC 비활성화 비트를 통해 비활성화됩니다.
  • SPN이 계정에서 제거됩니다.

dMSA 영역

영역은 도메인 또는 포리스트 간에 다른 버전의 AD를 통합할 때 일반적으로 사용되는 인증 경계를 정의하는 논리 그룹화 역할을 합니다. 일부 도메인이 dMSA의 모든 기능을 완전히 지원하지 않을 수 있는 혼합 도메인 환경에서 특히 중요합니다. dMSA는 영역을 지정하여 도메인 간의 적절한 통신 및 인증 흐름을 보장할 수 있습니다.

관리자는 영역을 사용하여 dMSA 계정을 인증하고 액세스할 수 있는 도메인 또는 디렉터리 구성 요소를 지정할 수 있습니다. 이렇게 하면 기본적으로 dMSA 기능을 지원하지 않을 수 있는 이전 자식 도메인도 보안 경계를 유지하면서 계정과 상호 작용할 수 있습니다. 영역은 혼합 환경에서 기능의 원활한 전환과 공존을 가능하게 함으로써 보안을 손상시키지 않으면서 호환성을 보장하는 데 도움이 됩니다.

예를 들어 Windows Server 2025에서 실행되는 기본 corp.contoso.com 도메인과 Windows Server 2022 실행이라는 legacy.corp.contoso.com 이전 자식 도메인이 있는 경우 영역을 다음과 같이 legacy.corp.contoso.com지정할 수 있습니다.

사용자 환경에 대한 이 그룹 정책 설정을 편집하려면 다음 경로로 이동합니다.

컴퓨터 구성\관리 템플릿\System\Kerberos\위임된 관리 서비스 계정 로그온 사용

사용하도록 설정된

참고 항목

위임 관리 서비스 계정 설정하기