Windows Server 2016의 Active Directory 버전에는 AD 보안 그룹에 사용자를 임시로 추가할 수 있는 흥미로운 기능이 도입되었습니다. 이 기능을 임시 그룹 멤버십(시간 기반)이라고 합니다. . 이 기능은 AD 보안 그룹 구성원 자격을 기반으로 사용자에게 일시적으로 일부 권한을 부여해야 할 때 사용할 수 있습니다. 지정된 시간이 지나면 사용자는 자동으로 보안 그룹에서 제거됩니다(관리자 개입 없이).
임시 그룹 멤버십을 사용하려면 특수 접근 관리 기능을 활성화해야 합니다. Active Directory 포리스트에 있습니다. 삭제된 개체를 복구할 수 있는 AD 휴지통과 마찬가지로 PAM을 활성화한 후에는 비활성화할 수 없습니다.
AD 포리스트가 Windows Server 2016 포리스트 기능 수준(또는 그 이상)에서 실행되고 있는지 확인하십시오.
(Get-ADForest).ForestMode
AD PowerShell 모듈의 명령을 사용하여 현재 포리스트에서 Privileged Access Management 기능이 활성화되어 있는지 확인하십시오.
Get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
EnableScopes 값이 필요합니다. 매개변수. 이 예에서는 비어 있습니다. 이는 이 포리스트에 대해 권한 있는 액세스 관리 기능이 활성화되지 않았음을 의미합니다.
활성화하려면 Enable-ADOptionalFeature 를 사용하십시오. 명령을 실행하고 포리스트 이름을 인수 중 하나로 지정합니다.
Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target contoso.com
Enable-ADOptionalFeature: The SMO role ownership could not be verified because its directory partition has not replicated successfully with at least one replication partner "라는 메시지가 나타나면 도메인 컨트롤러 및 AD 복제 상태, FSMO 역할 소유자의 가용성을 확인하십시오. 수동으로 AD 복제를 강제 실행합니다.
Get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" | select EnabledScopes 선택 EnableScopes 필드가 비어 있지 않은지 확인하십시오.
dsa.msc)에서 보안 그룹에 임시로 추가 )는 지원되지 않습니다. PAM이 활성화되면 특수 인수 MemberTimeToLive를 사용하여 사용자를 AD 그룹에 추가할 수 있습니다. Add-ADGroupMember cmdlet의. New-TimeSpan을 사용하여 시간 간격(TTL)을 설정하는 것이 편리합니다. cmdlet. test1 사용자를 추가한다고 가정해 보겠습니다. 도메인 관리자에게 15분 동안 그룹:
$ttl = New-TimeSpan -Minutes 5
Add-ADGroupMember -Identity "Domain Admins" -Members test1 -MemberTimeToLive $ttl
Get-ADGroup cmdlet을 사용하여 사용자가 그룹 구성원이 되는 시간을 확인할 수 있습니다.Get-ADGroup 'Domain Admins' -Property member –ShowMemberTimeToLive
명령 결과에서 <TTL=187,CN=test1,CN=Users,DC=woshub,DC=loc> 그룹 구성원을 위해. TTL 값은 초 단위로 표시됩니다. 이것은 이 사용자가 일시적으로 Domain Admins 그룹에 추가되었음을 의미합니다. 187초 후 그는 자동으로 그룹에서 제거됩니다.
사용자 Kerberos 티켓도 만료됩니다. 이는 KDC가 AD 그룹의 임시 회원 자격을 가진 사용자에 대해 TTL 값 중 최소값과 동일한 수명으로 티켓을 발행한다는 사실 때문에 구현됩니다.
다음 명령을 사용하여 다음 Kerberos 티켓 갱신 시간을 확인할 수 있습니다.
klist
TGT 티켓의 다음 갱신 시간은 갱신 시간에 표시됩니다. 매개변수.
이전에 klist를 사용하여 로그오프하지 않고 AD 그룹 구성원 자격을 새로 고치는 방법을 보여주었습니다.
또한 AD(Windows2003Fores 포리스트 기능 수준 이상)에서 임시 AD 그룹을 만들 수 있습니다. 이러한 그룹의 경우 dynamicObject 클래스가 사용됩니다. 이러한 그룹의 자동 삭제는 Active Directory 가비지 컬렉션 프로세스에 의해 수행됩니다.
예를 들어 한 달 후에 자동으로 삭제되는 임시 그룹을 만들려면(2592000 = 31 * 24 * 60 * 60 ), 다음 PowerShell 스크립트 사용:
$OU = [adsi]"LDAP://OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=loc"
$Group = $OU.Create("group","cn=MUN-FS01_Public_tmp")
$Group.PutEx(2,"objectClass",@("dynamicObject","group"))
$Group.Put("entryTTL","2678400")
$Group.SetInfo()
ADUC 콘솔에서 그룹 속성을 엽니다. entryTTL에 주의 기인하다. 이 AD 그룹이 제거되는 시간(초)을 나타냅니다.
이전에는 임시 AD 그룹 구성원 자격을 구현하려면 동적 개체, 다른 스크립트 및 예약된 작업 또는 매우 복잡한 시스템(Microsoft Forefront Identity Manager 등)을 사용해야 했습니다. 이제 Windows Server 2016/2019에서 이 편리한 기능을 즉시 사용할 수 있습니다.