Windows 인증에 사용되는 그룹 정책 설정
IT 전문가를 위한 이 참조 토픽에서는 인증 프로세스에서 그룹 정책 설정의 사용 및 영향에 대해 설명합니다.
사용자, 컴퓨터 및 서비스 계정을 그룹에 추가한 다음 해당 그룹에 인증 정책을 적용함으로써 Windows 운영 체제에서 인증을 관리할 수 있습니다. 이러한 정책은 로컬 보안 정책 및 관리 템플릿(그룹 정책 설정이라고도 함)으로 정의됩니다. 그룹 정책을 사용하여 두 개의 집합을 모두 구성하고 조직 전체에 배포할 수 있습니다.
참고
Windows Server 2012 R2에 도입된 기능을 사용하면 보호된 계정을 사용해서 일반적으로 인증 사일로라고 하는 대상 서비스 또는 애플리케이션에 대한 인증 정책을 구성할 수 있습니다. Active Directory에서 이 작업을 수행하는 방법에 대한 자세한 내용은 보호된 계정을 구성하는 방법을 참조하세요.
예를 들면 조직의 기능에 따라 그룹에 다음 정책을 적용할 수 있습니다.
로컬에서 또는 도메인에 로그온
네트워크를 통해 로그온
계정 재설정
계정 만들기
다음 표에서는 인증과 관련된 정책 그룹을 나열하고 해당 정책을 구성하는 데 도움이 될 수 있는 설명서에 대한 링크를 제공합니다.
| 정책 그룹 | 위치 | 설명 |
|---|---|---|
| 암호 정책 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\계정 정책 | 암호 정책은 암호의 특성 및 동작에 영향을 줍니다. 암호 정책은 도메인 계정 또는 로컬 사용자 계정을 위해 사용됩니다. 적용 및 수명 등의 암호에 대한 설정을 결정합니다. 특정 설정에 대한 자세한 내용은 암호 정책을 참조하세요. |
| 계정 잠금 정책 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\계정 정책 | 계정 잠금 정책 옵션은 로그온 시도의 설정된 실패 횟수가 시도된 후 계정을 사용하지 않도록 설정합니다. 이러한 옵션을 사용하면 암호를 끊으려는 시도를 감지하여 차단하는 데 도움이 될 수 있습니다. 계정 잠금 정책 옵션에 대한 자세한 내용은 계정 잠금 정책을 참조하세요. |
| Kerberos 정책 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\계정 정책 | Kerberos 관련 설정은 티켓 수명 및 적용 규칙을 포함합니다. 로컬 계정을 인증하는 데 Kerberos 인증 프로토콜이 사용되지 않으므로 Kerberos 정책은 로컬 계정 데이터베이스에 적용되지 않습니다. 따라서 Kerberos 정책 설정은 도메인 로그온에 영향을 주는 기본 도메인 GPO(그룹 정책 개체)를 통해서만 구성할 수 있습니다. 도메인 컨트롤러의 Kerberos 정책 옵션에 대한 자세한 내용은 Kerberos 정책을 참조하세요. |
| 감사 정책 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\감사 정책 | 감사 정책을 사용하면 파일 및 폴더와 같은 개체에 대한 액세스를 제어하고 이해하며 사용자 및 그룹 계정과 사용자 로그온 및 로그오프를 관리할 수 있습니다. 감사 정책은 감사하려는 이벤트의 범주를 지정하고, 보안 로그의 크기와 동작을 설정하며, 액세스를 모니터링할 개체와 모니터링할 액세스 유형을 결정할 수 있습니다. |
| 사용자 권한 할당 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당 | 사용자 권한은 일반적으로 관리자, 고급 사용자 또는 사용자와 같이 사용자가 속한 보안 그룹을 기반으로 할당됩니다. 이 범주에 있는 정책 설정은 일반적으로 액세스 방법 및 보안 그룹 구성원 자격에 따라 컴퓨터에 대한 액세스 권한을 부여하거나 거부하는 데 사용됩니다. |
| 보안 옵션 | 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션 | 인증과 관련된 정책에는 다음 사항이 포함됩니다. - 디바이스 |
| 자격 증명 위임 | 컴퓨터 구성\관리 템플릿\시스템\자격 증명 위임 | 자격 증명 위임은 다른 시스템, 특히 도메인 내의 구성원 서버 및 도메인 컨트롤러에서 로컬 자격 증명을 사용할 수 있는 메커니즘입니다. 이러한 설정은 Cred SSP(자격 증명 보안 지원 공급자)를 사용해서 애플리케이션에 적용됩니다. 원격 데스크톱 연결이 하나의 예시입니다. |
| KDC | 컴퓨터 구성\관리 템플릿\시스템\KDC | 이러한 정책 설정은 도메인 컨트롤러의 서비스인 KDC(키 배포 센터)에서 Kerberos 인증 요청을 처리하는 방식에 영향을 줍니다. |
| Kerberos | 컴퓨터 구성\관리 템플릿\시스템\Kerberos | 이러한 정책 설정은 클레임, Kerberos 아머링, 복합 인증, 프록시 서버 식별 및 기타 구성에 대한 지원을 처리하기 위해 Kerberos를 구성하는 방법에 영향을 줍니다. |
| 로그온 | 컴퓨터 구성\관리 템플릿\시스템\로그온 | 이러한 정책 설정은 시스템에서 사용자를 위한 로그온 환경을 제공하는 방법을 제어합니다. |
| Net Logon | 컴퓨터 구성\관리 템플릿\시스템\Net Logon | 이러한 정책 설정은 도메인 컨트롤러 로케이터의 동작 방식을 포함하여 시스템이 네트워크 로그온 요청을 처리하는 방법을 제어합니다. 도메인 컨트롤러 로케이터가 복제 프로세스에 적합한 방식에 대한 자세한 내용은 사이트 간 복제 이해를 참조하세요. |
| 생체 인식 | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\생체 인식 | 일반적으로 이러한 정책 설정은 인증 방법으로 생체 인식 사용을 허용하거나 거부합니다. 생체 인식의 Windows 구현에 대한 자세한 내용은 Windows 생체 인식 프레임워크 개요를 참조하세요. |
| 자격 증명 사용자 인터페이스 | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\자격 증명 사용자 인터페이스 | 이러한 정책 설정은 진입 지점에서 자격 증명을 관리하는 방법을 제어합니다. |
| 암호 동기화 | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\암호 동기화 | 이러한 정책 설정은 시스템에서 Windows 및 UNIX 기반 운영 체제 간의 암호 동기화를 관리하는 방법을 결정합니다. 자세한 내용은 암호 동기화를 참조하세요. |
| 스마트 카드 | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\스마트 카드 | 이러한 정책 설정은 시스템의 스마트 카드 로그온 관리 방법을 제어합니다. |
| Windows 로그온 옵션 | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 로그온 옵션 | 이러한 정책 설정은 로그온 기회의 사용 가능한 시기와 방법을 제어합니다. |
| Ctrl+Alt+Del 옵션 | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Ctrl+Alt+Del 옵션 | 이러한 정책 설정은 로그온 UI(보안 데스크톱)의 기능(예: 작업 관리자 및 컴퓨터의 키보드 잠금)의 모양 및 접근성에 영향을 줍니다. |
| 로그온 | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\로그온 | 이러한 정책 설정은 사용자가 로그온할 때 실행할 수 있는 프로세스 또는 그 여부를 결정합니다. |