그룹 관리 서비스 계정 시작

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

이 문서에서는 Windows Server에서 gMSA(그룹 관리 서비스 계정)를 사용하도록 설정하고 사용하는 방법을 알아봅니다.

서비스의 모든 인스턴스가 동일한 보안 주체를 사용하지 않는 한 Kerberos와 같은 상호 인증을 지원하는 인증 프로토콜을 사용할 수 없습니다. 예를 들어 클라이언트 컴퓨터가 부하 분산을 사용하는 서비스에 연결하거나 모든 서버가 클라이언트와 동일한 서비스로 표시되는 다른 메서드에 연결하는 경우입니다. 이는 각 서비스에서 동일한 암호 또는 키를 사용하여 ID를 증명해야 함을 의미합니다. 그룹 관리 서비스 계정은 여러 서버에서 사용할 수 있는 계정 유형입니다. gMSA는 암호를 관리할 필요 없이 여러 서버에서 서비스를 실행하는 데 사용할 수 있는 도메인 계정입니다. gMSA는 다른 관리자에 대한 관리 위임을 비롯하여 자동 암호 관리, 간소화된 서비스 주체 이름(SPN) 관리 기능을 제공합니다.

참고 항목

장애 조치 클러스터는 gMSA를 지원하지 않습니다. 그러나 클러스터 서비스를 기반으로 실행되는 서비스가 Windows 서비스, 응용 프로그램 풀 또는 예약된 작업이거나 기본적으로 gMSA 또는 sMSA를 지원하는 경우에는 gMSA 또는 sMSA를 사용할 수 있습니다.

서비스는 사용할 보안 주체를 선택할 수 있습니다. 각 보안 주체 유형은 서로 다른 서비스를 지원하며 제한 사항이 다릅니다.

보안 주체	지원되는 서비스	암호 관리
Windows 시스템의 컴퓨터 계정	도메인 가입 서버 하나로 제한	컴퓨터에서 관리
Windows 시스템이 없는 컴퓨터 계정	모든 도메인 가입 서버	None
가상 계정	서버 하나로 제한	컴퓨터에서 관리
Windows 독립 실행형 관리 서비스 계정	도메인 가입 서버 하나로 제한	컴퓨터에서 관리
사용자 계정	모든 도메인 가입 서버	None
그룹 관리 서비스 계정	모든 Windows Server 도메인 가입 서버	도메인 컨트롤러에서 관리하고 호스트에서 검색

Windows 컴퓨터 계정, Windows 독립 실행형 관리 서비스 계정(sMSA) 또는 가상 계정은 여러 시스템에서 공유할 수 없습니다. 가상 계정을 사용하는 경우 ID는 로컬 컴퓨터에만 해당되며 도메인에서 인식되지 않습니다. 서버 팜의 서비스에서 공유할 계정 하나를 구성하려면 Windows 시스템과 별개인 사용자 계정 또는 컴퓨터 계정을 선택해야 합니다. 그러나 이러한 계정에는 단일 제어 지점 암호 관리 기능이 없습니다. 암호 관리가 없으면 각 조직은 Active Directory의 서비스에 대한 키를 업데이트하고 해당 키를 해당 서비스의 모든 인스턴스에 배포해야 합니다.

Windows Server를 사용하면 서비스 및 서비스 관리자가 gMSA를 사용할 때 서비스 인스턴스 간의 암호 동기화를 관리할 필요가 없습니다. Active Directory에서 gMSA를 만든 다음 관리 서비스 계정을 지원하는 서비스를 구성합니다. gMSA의 사용 범위는 LDAP를 사용하여 gMSA의 자격 증명을 검색할 수 있는 모든 컴퓨터로 범위가 지정됩니다. Active Directory 모듈의 일부인 New-ADServiceAccount cmdlet를 사용하여 gMSA를 생성할 수 있습니다. 아래의 서비스는 호스트에서 서비스 ID 구성을 지원합니다.

• sMSA와 동일한 API(따라서 sMSA를 지원하는 제품은 gMSA를 지원함)

• 서비스 제어 관리자를 사용하여 로그온 ID를 구성하는 서비스

• 애플리케이션 풀에 IIS 관리자를 사용하여 ID를 구성하는 서비스

• 작업 스케줄러를 사용하는 작업

필수 조건

다음 표에는 gMSA를 사용하는 서비스에서 Kerberos 인증을 사용하기 위한 운영 체제 요구 사항이 나와 있습니다. Active Directory 요구 사항은 이 표 다음에 설명되어 있습니다.

gMSA를 관리하는 데 사용되는 Windows PowerShell 명령을 실행하려면 64비트 아키텍처가 필요합니다.

운영 체제

요소	요건
클라이언트 애플리케이션 호스트	RFC 호환 Kerberos 클라이언트
사용자 계정의 도메인 DC	RFC 호환 KDC
공유 서비스 구성원 호스트
구성원 호스트의 도메인 DC	RFC 호환 KDC
gMSA 계정의 도메인 DC	호스트가 암호 검색에 사용 가능한 Windows Server 2012 DC
백 엔드 서비스 호스트	RFC 호환 Kerberos 애플리케이션 서버
백 엔드 서비스 계정의 도메인 DC	RFC 호환 KDC
Active Directory용 Windows PowerShell	Active Directory 도메인 서비스 원격 서버 관리자 도구

Active Directory Domain Services

그룹 관리 서비스 계정에는 Active Directory 도메인 서비스(AD DS)에서 다음과 같은 요구 사항이 있습니다.

• Active Directory 도메인 및 포리스트 기능 수준은 Windows Server 2012 이상이어야 합니다. 스키마 업데이트에 대한 자세한 내용은 Active Directory 도메인 및 포리스트 기능 수준을 높이는 방법을 참조 하세요.

• gMSA를 사용할 서비스 호스트 권한을 그룹별로 관리하는 경우 새 보안 그룹 또는 기존 보안 그룹

• 서비스 액세스 제어를 그룹별로 관리하는 경우 새 보안 그룹 또는 기존 보안 그룹

• Active Directory에 대한 KDS(키 배포 서비스) 루트 키를 도메인에 만들어야 합니다. 만들기 결과는 KdsSvc 작업 로그 Event ID 4004에서 확인할 수 있습니다. KDS(kdssvc.dll) 루트 키를 만드는 방법에 대한 자세한 내용은 키 배포 서비스 KDS 루트 키 만들기를 참조 하세요.

새 서버 팜 배포

gMSA 기능을 사용하여 서버 팜을 만들고 관리하는 프로세스에는 일반적으로 다음 작업이 포함됩니다.

• 새 서버 팜 배포

• 기존 서버 팜에 구성원 호스트 추가

• 기존 서버 팜에서 구성원 호스트 서비스 해제

• 기존 서버 팜 서비스 해제

• 필요한 경우 서버 팜에서 손상된 구성원 호스트 제거

서비스 관리자가 새로운 서버 팜을 배포하는 경우 다음 정보를 확인해야 합니다.

• 서비스에서 gMSA 사용을 지원하는지 여부

• 서비스에 인바운드 또는 아웃바운드 인증된 연결이 필요한지 여부

• gMSA를 사용하는 서비스에 대한 구성원 호스트의 컴퓨터 계정 이름

• 서비스의 NetBIOS 이름

• 서비스의 DNS 호스트 이름

• 서비스의 SPN(서비스 사용자 이름)

• 암호 변경 간격(기본값은 30일)

그룹 관리 서비스 계정 만들기

포리스트 스키마가 Windows Server 2012 이상인 경우에만 gMSA를 만들 수 있습니다. 또한 Active Directory에 대한 KDS 루트 키를 배포해야 하며 gMSA를 만들려는 도메인에 하나 이상의 Windows Server 2012 이상 도메인 컨트롤러가 있어야 합니다.

Important

gMSA 계정 이름은 도메인이 아니라 포리스트 수준 내에서 고유해야 합니다. 다른 도메인에서도 중복된 이름으로 gMSA 계정을 만들고자 하면 실패하게 됩니다.

도메인 관리자의 멤버 자격 또는 개체를 만드는 msDS-GroupManagedServiceAccount 기능은 다음 절차를 완료하는 데 필요한 최소값입니다.

PowerShell을 사용하여 gMSA를 만들려면 다음 단계를 따릅니다.

1. Windows Server 2012 도메인 컨트롤러의 경우 작업 표시줄에서 Windows PowerShell을 실행합니다.

2. Windows PowerShell에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다. (Active Directory 모듈이 자동으로 로드됩니다.)

   New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

   참고 항목

   -Name 매개 변수의 값은 -Name 지정 여부와 상관없이 항상 필요하며 -DNSHostName, -RestrictToSingleComputer 및 -RestrictToOutboundAuthentication의 경우 세 가지 배포 시나리오의 보조 요구 사항입니다.

   매개 변수	문자열	예시
   이름	계정 이름	ITFarm1
   DNSHostName	서비스의 DNS 호스트 이름	ITFarm1.contoso.com
   KerberosEncryptionType	호스트 서버에서 지원되는 모든 암호화 종류	없음, RC4, AES128, AES256
   ManagedPasswordIntervalInDays	암호 변경 간격(지정하지 않을 경우 기본값은 30일)	90
   PrincipalsAllowedToRetrieveManagedPassword	구성원 호스트 또는 구성원 호스트가 속해 있는 보안 그룹의 컴퓨터 계정	ITFarmHosts
   SamAccountName	서비스의 NetBIOS 이름(Name과 동일하지 않은 경우)	ITFarm1
   ServicePrincipalNames	서비스의 SPN(서비스 사용자 이름)	http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

   Important

   암호 변경 간격은 만드는 동안에만 설정할 수 있습니다. 간격을 변경해야 하는 경우 새 gMSA를 만든 후 만들기 과정에서 이를 설정해야 합니다.

   예를 들어 다음 명령을 사용하여 그룹에 대해 호출 ITFarm1 된 새 gMSA를 만듭니다. gMSA를 사용하면 서비스에서 Kerberos 암호화 유형 RC4, AES128 및 AES256을 사용할 수 있습니다. 서비스는 SPN http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com 및 http/ITFarm1/contoso 사용이 가능합니다.

   서식 제약 조건으로 인해 명령이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 명령을 한 줄에 입력해야 합니다.

    New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
   

다음 절차를 완료하려면 최소한 Domain Admins 및 Account Operators의 구성원이거나 msDS-GroupManagedServiceAccount 개체를 만들 수 있는 권한이 있어야 합니다. 적절한 계정과 그룹 구성원 사용에 대한 자세한 내용은 Active Directory 보안 그룹을 참조하세요.

PowerShell을 사용하는 아웃바운드 인증용 gMSA를 만들려면 다음 단계를 수행합니다.

1. Windows Server 2012 도메인 컨트롤러의 경우 작업 표시줄에서 Windows PowerShell을 실행합니다.

2. Windows PowerShell Active Directory 모듈의 명령 프롬프트에서 다음의 명령을 사용합니다.

   New-ADServiceAccount [-Name] <string> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

   이 예제에서는 다음 표의 매개 변수를 사용하여 gMSA를 만듭니다.

   매개 변수	문자열	예시
   이름	계정 이름	ITFarm1
   ManagedPasswordIntervalInDays	암호 변경 간격(지정하지 않을 경우 기본값은 30일)	75
   PrincipalsAllowedToRetrieveManagedPassword	구성원 호스트 또는 구성원 호스트가 속해 있는 보안 그룹의 컴퓨터 계정	ITFarmHosts

   Important

   암호 변경 간격은 만드는 동안에만 설정할 수 있습니다. 간격을 변경해야 하는 경우 새 gMSA를 만든 후 만들기 과정에서 이를 설정해야 합니다.

   예제 명령은 다음과 같이 이러한 매개 변수를 사용합니다.

   New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
   

서비스 ID 애플리케이션 서비스 구성

Windows Server에서 서비스를 구성하려면 다음 문서를 참조합니다.

• 애플리케이션 풀 ID

• Windows 서비스

• 개발자를 위한 작업 스케줄러

다른 서비스에서도 gMSA를 지원할 수 있습니다. 이러한 서비스를 구성하는 방법에 대한 자세한 내용은 해당 제품 설명서를 참조하세요.

기존 서버 팜에 구성원 호스트 추가

보안 그룹을 사용하여 구성원 호스트를 관리하는 경우 다음 방법 중 하나를 사용하여 보안 그룹(gMSA의 구성원 호스트가 속해 있는)에 새 구성원 호스트의 컴퓨터 계정을 추가합니다.

다음 절차를 완료하려면 최소한 Domain Admins의 구성원이거나 보안 그룹 개체에 구성원을 추가할 수 있는 권한이 있어야 합니다.

• 방법 1: Active Directory 사용자 및 컴퓨터

  Active Directory 사용자 및 컴퓨터 스냅인을 사용하려면 Active Directory 관리 센터에서 그룹에 컴퓨터 계정 추가 및 다른 도메인 관리를 참조하세요.

• 메서드 2: dsmod

  명령줄을 사용하려면 그룹에 컴퓨터 계정 추가를 참조하세요.

• 방법 3: Windows PowerShell Active Directory cmdlet Add-ADPrincipalGroupMembership

  PowerShell을 사용하려면 Add-ADPrincipalGroupMembership을 참조 하세요.

컴퓨터 계정을 사용하는 경우 기존 계정을 찾은 다음 새 컴퓨터 계정을 추가합니다.

도메인 관리자, 계정 운영자 또는 개체를 관리하는 msDS-GroupManagedServiceAccount 기능의 멤버 자격은 이 절차를 완료하는 데 최소한 필요합니다. 적절한 계정과 그룹 구성원 사용에 대한 자세한 내용은 로컬 및 도메인 기본 그룹을 참조하세요.

PowerShell을 사용하여 구성원 호스트 추가

1. Windows Server 2012 도메인 컨트롤러의 경우 작업 표시줄에서 Windows PowerShell을 실행합니다.

2. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

   Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

3. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

   Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

다음 예제에서는 표에 기재된 매개 변수를 사용하여 서버 팜에 구성원을 추가합니다.

매개 변수	문자열	예시
이름	계정 이름	ITFarm1
PrincipalsAllowedToRetrieveManagedPassword	구성원 호스트 또는 구성원 호스트가 속해 있는 보안 그룹의 컴퓨터 계정	Host1, Host2, Host3

다음 예제에서는 팜 ITFarm1의 현재 구성원을 가져옵니다.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

다음 예제에서는 기존 서버 팜 ITFarm1에 구성원 호스트를 추가합니다.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

gMSA 속성 업데이트

다음 절차를 완료하려면 최소한 Domain Admins또는 Account Operators의 구성원이거나 msDS-GroupManagedServiceAccount 개체를 쓸 수 있는 권한이 있어야 합니다.

Windows PowerShell Active Directory 모듈을 열고 Set-ADServiceAccount cmdlet을 사용하여 속성을 설정합니다.

이러한 속성을 설정하는 방법에 대한 자세한 내용은 TechNet 라이브러리에서 Set-ADServiceAccount를 참조하세요. Windows PowerShell Active Directory 모듈 명령 프롬프트에서 Get-Help Set-ADServiceAccount를 입력하고 Enter 키를 눌러 참조할 수도 있습니다.

기존 서버 팜에서 멤버 호스트 제거

다음 절차를 완료하려면 최소한 Domain Admins의 구성원이거나 보안 그룹 개체에서 구성원을 제거할 수 있는 권한이 있어야 합니다.

멤버 호스트를 관리하기 위해 보안 그룹을 사용하는 경우 다음 방법 중 하나를 사용하여 gMSA의 멤버 호스트가 멤버인 보안 그룹에서 서비스 해제된 멤버 호스트에 대한 컴퓨터 계정을 제거합니다.

• 방법 1: Active Directory 사용자 및 컴퓨터

  Active Directory 사용자 및 컴퓨터 스냅인을 사용하려면 Active Directory 관리 센터에서 컴퓨터 계정 삭제 및 다른 도메인 관리를 참조하세요.

• 메서드 2: drsm

  명령줄을 사용하려면 컴퓨터 계정 삭제를 참조 하세요.

• 방법 3: Windows PowerShell Active Directory cmdlet Remove-ADPrincipalGroupMembership

  PowerShell을 사용하려면 TechNet 라이브러리에서 Remove-ADPrincipalGroupMembership을 참조하거나 Windows PowerShell 명령 프롬프트용 Active Directory 모듈을 입력 Get-Help Remove-ADPrincipalGroupMembership 하고 Enter 키를 누릅니다.

컴퓨터 계정을 나열하는 경우 기존 계정을 검색한 다음 제거된 컴퓨터 계정을 제외하고 모든 컴퓨터 계정을 추가합니다.

도메인 관리자, 계정 운영자 또는 개체를 관리하는 msDS-GroupManagedServiceAccount 기능의 멤버 자격은 이 절차를 완료하는 데 최소한 필요합니다. 적절한 계정과 그룹 구성원 사용에 대한 자세한 내용은 로컬 및 도메인 기본 그룹을 참조하세요.

PowerShell을 사용하여 구성원 호스트 제거

1. Windows Server 2012 도메인 컨트롤러의 경우 작업 표시줄에서 Windows PowerShell을 실행합니다.

2. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

   Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

3. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

   Set-ADServiceAccount [-Identity] <string> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

이 예제에서는 다음 표의 매개 변수를 사용하여 서버 팜에 대한 멤버를 제거합니다.

매개 변수	문자열	예시
이름	계정 이름	ITFarm1
PrincipalsAllowedToRetrieveManagedPassword	구성원 호스트 또는 구성원 호스트가 속해 있는 보안 그룹의 컴퓨터 계정	Host1, Host3

다음 예제에서는 팜 ITFarm1의 현재 구성원을 가져옵니다.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

다음 예제에서는 기존 서버 팜 ITFarm1에서 구성원 호스트를 제거합니다.

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

시스템에서 gMSA 제거

호스트 시스템에서 사용하거나 NetRemoveServiceAccount API를 사용하여 Uninstall-ADServiceAccount 멤버 호스트에서 캐시된 gMSA 자격 증명을 제거합니다.

이 절차를 완료하려면 최소한 Administrators그룹의 구성원이거나 이와 동등한 자격이 필요합니다.

PowerShell을 사용하여 gMSA 제거

1. Windows Server 2012 도메인 컨트롤러의 경우 작업 표시줄에서 Windows PowerShell을 실행합니다.

2. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

   Uninstall-ADServiceAccount <ADServiceAccount>

   다음 예제에서는 컴퓨터에서 Active Directory 관리 서비스 계정을 제거합니다.

   Uninstall-ADServiceAccount ITFarm1
   

cmdlet에 대한 Uninstall-ADServiceAccount 자세한 내용은 Windows PowerShell 명령 프롬프트용 Active Directory 모듈에서 Enter 키를 입력 Get-Help Uninstall-ADServiceAccount한 다음 Enter 키를 누르거나 Uninstall-ADServiceAccount의 TechNet 웹 정보를 참조하세요.

관련 콘텐츠

• 그룹 관리 서비스 개요