이 문서에서는 Active Directory 도메인에서 관리 권한을 위임하는 방법을 살펴보겠습니다. 위임을 사용하면 도메인 관리자, 계정 운영자 등과 같은 권한 있는 도메인 그룹의 구성원으로 만들지 않고 일반 도메인(비관리자) 사용자에게 일부 AD 관리 작업을 수행할 수 있는 권한을 부여할 수 있습니다. 예를 들어 위임을 사용하여 특정 AD 보안 그룹(예:헬프데스크)에 사용자를 그룹에 추가하고, AD에서 새 사용자를 생성하고, 계정 암호를 재설정할 수 있는 권한을 부여합니다.
Active Directory 위임 권한 이해
AD에서 권한을 위임하려면 제어 위임 마법사 Active Directory 사용자 및 컴퓨터(DSA.msc)에서 사용됩니다.
AD에서 관리 권한을 상당히 세분화된 수준으로 위임할 수 있습니다. 한 그룹에는 OU의 비밀번호를 재설정할 수 있는 권한을 부여하고, 다른 그룹에는 사용자 계정을 생성 및 삭제하고, 세 번째 그룹에는 그룹 구성원을 생성 및 변경할 수 있는 권한을 부여할 수 있습니다. 중첩된 OU에 대한 권한 상속을 구성할 수 있습니다. 다음 수준에서 Active Directory에서 권한을 위임할 수 있습니다.
- 광고 사이트,
- 전체 도메인,
- Active Directory의 특정 OU(조직 구성 단위)
- 특정 AD 개체.
Active Directory의 위임 제어 모범 사례:
- 특정 사용자 계정에 권한을 직접 위임(할당)하지 않는 것이 좋습니다. 대신 AD에서 새 보안 그룹을 만들고 여기에 사용자를 추가하고 해당 그룹의 OU에 대한 권한을 위임합니다. 다른 사용자에게 동일한 권한을 부여하려면 해당 사용자를 이 보안 그룹에 추가하기만 하면 됩니다.
- 거부 권한은 허용된 권한보다 우선하므로 사용하지 마십시오.
- 도메인에서 위임된 권한을 정기적으로 감사합니다(OU당 현재 권한 목록이 포함된 보고서는 PowerShell을 사용하여 생성할 수 있음).
- 어느 누구에게도 관리자 계정으로 OU를 관리할 수 있는 권한을 부여하지 마십시오. 그렇지 않으면 모든 지원 직원이 도메인 관리자 암호를 재설정할 수 있습니다. 권한이 있는 모든 사용자 및 그룹은 위임 규칙이 적용되지 않는 별도의 OU에 배치해야 합니다.
암호 재설정 위임 및 AD에서 계정 권한 잠금 해제
귀하의 작업이 헬프데스크 그룹에 암호를 재설정하고 도메인의 사용자 계정 잠금을 해제할 수 있는 권한을 부여하는 것이라고 가정해 보겠습니다. PowerShell을 사용하여 AD에서 새 보안 그룹을 생성해 보겠습니다.
New-ADGroup "HelpDesk" -path 'OU=Groups,OU=Paris,OU=Fr,dc=woshub,DC=com' -GroupScope Global
이 그룹에 원하는 사용자 추가:
Add-AdGroupMember -Identity HelpDesk -Members rdroz, jdupont
Active Directory 사용자 및 컴퓨터 mmc 스냅인(dsa.msc)을 실행합니다. ), 사용자가 있는 OU를 마우스 오른쪽 버튼으로 클릭하고(이 예에서는 'OU=Users,OU=Paris,OU=Fr,dc=woshub,DC=com'임) 제어 위임 메뉴 항목.
관리 권한을 부여할 그룹을 선택하십시오.
미리 구성된 권한 집합 중 하나를 선택합니다(다음 일반 작업 위임):
- 사용자 계정 생성, 삭제 및 관리
- 사용자 비밀번호 재설정 및 다음 로그온 시 강제 비밀번호 변경
- 모든 사용자 정보 읽기
- 그룹 생성, 삭제 및 관리
- 그룹 구성원 수정
- 그룹 정책 링크 관리
- 정책 결과 집합 생성(계획),
- 정책 결과 집합 생성(로깅),
- inetOrgPerson 계정 생성, 삭제 및 관리
- inetOrgPerson 비밀번호를 재설정하고 다음 로그온 시 강제로 비밀번호 변경
- 모든 inetOrgPerson 정보를 읽습니다.
또는 위임할 맞춤 작업 만들기 . 저는 두 번째 옵션을 선택합니다.
관리 권한을 부여할 AD 개체 유형을 선택합니다. 사용자 계정에 대한 제어 권한을 부여하려면 사용자 개체 를 선택하십시오. 안건. OU에서 사용자를 만들거나 삭제할 수 있는 권한을 부여하려면 이 폴더에서 선택한 개체 만들기/삭제 옵션을 선택합니다. . 이 예에서는 그러한 권한을 부여하지 않습니다.
권한 목록에서 위임할 권한을 선택합니다. 이 예에서는 사용자 계정의 잠금을 해제하는 권한을 선택합니다(lockoutTime 읽기 및 lockoutTime 쓰기 ) 및 비밀번호 재설정(비밀번호 재설정 ).
HelpDesk 팀이 도메인에서 계정 잠금의 원인을 식별하려면 도메인 컨트롤러에서 보안 로그를 검색할 수 있는 권한을 부여해야 합니다.
다음을 클릭하고 마지막 화면에서 선택한 권한의 위임을 확인합니다.
이제 HelpDesk 그룹의 사용자 계정에서 PowerShell을 사용하여 대상 OU의 사용자 암호를 재설정하려고 합니다.
Set-ADAccountPassword gchaufourier -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “P@ssdr0w1” -Force -Verbose) –PassThru
비밀번호가 성공적으로 재설정되어야 합니다(도메인 비밀번호 정책과 일치하는 경우).
이제 New-ADUser cmdlet을 사용하여 이 OU에 사용자를 생성해 봅니다.
New-ADUser -Name gmicheaux -Path 'OU=Users,OU=Paris,OU=FR,DC=woshub,DC=com' -Enabled $true
새 AD 계정을 만들 수 있는 권한을 위임하지 않았기 때문에 액세스 거부 오류가 표시되어야 합니다.
도메인 컨트롤러 보안 로그를 사용하여 관리 권한을 위임한 사용자의 작업을 감사할 수 있습니다. 예를 들어 도메인의 사용자 비밀번호를 재설정한 사람, AD에서 사용자 계정을 만든 사람을 추적하거나 민감한 AD 그룹의 변경 사항을 추적할 수 있습니다.
AD 도메인에 컴퓨터 가입 권한 위임
기본적으로 모든 도메인 사용자는 최대 10대의 컴퓨터를 도메인에 가입할 수 있습니다. 11 번째 추가 시 컴퓨터에 오류가 나타납니다:
Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.
ms-DS-MachineAccountQuota 값을 늘려 도메인 전체 수준에서 이 제한을 변경할 수 있습니다. 기인하다. 또는 컴퓨터를 특정 OU에 가입할 수 있는 권한을 특정 사용자 그룹(헬프 데스크)에 위임하여 (더 정확하고 안전한 방법입니다.) 이렇게 하려면 컴퓨터 개체의 개체를 만들 수 있는 권한을 위임하세요. 유형. 제어 위임 마법사에서 이 폴더에 선택한 개체 만들기를 선택합니다. .
모든 하위 개체 만들기를 선택합니다. 권한 섹션에서.
AD에서 조직 단위 간에 개체를 이동할 수 있는 권한을 위임하려면 사용자 개체 삭제, 고유 이름 쓰기, 이름(**) 쓰기, 사용자(또는 컴퓨터) 개체 만들기 권한을 부여해야 합니다.
Active Directory에서 위임된 권한을 보고 제거하는 방법
AD의 OU에는 임의의 수의 위임 규칙을 할당할 수 있습니다. ADUC 콘솔의 OU 속성에서 그룹 목록과 그룹에 위임된 권한을 얻을 수 있습니다. 보안으로 이동 탭.
여기에는 이 컨테이너에 대한 권한이 부여된 AD 주체 목록이 포함됩니다. 고급에서 부여된 권한 목록을 볼 수 있습니다. 탭. 보시다시피 헬프데스크 그룹은 비밀번호를 재설정할 수 있습니다.
이전에 위임을 통해 할당된 특정 관리 권한 그룹을 취소할 수 있습니다. 권한을 위임한 그룹의 이름을 찾아 제거를 클릭합니다. .
또한 보안에서 -> 고급 탭에서 다른 보안 그룹에 위임된 권한을 수동으로 할당할 수 있습니다.
PowerShell을 사용하여 Active Directory에서 권한을 위임하는 방법
OU에 위임된 권한 목록을 가져오거나 PowerShell을 사용하여 현재 권한을 변경할 수 있습니다. Get-ACL 및 Set-ACL cmdlet은 Active Directory에서 권한을 보고 변경하는 데 사용됩니다(동일한 PowerShell cmdlet은 파일 및 폴더에 대한 NTFS 권한을 관리하는 데 사용됨).
다음의 간단한 스크립트는 AD의 특정 조직 단위에 위임된 모든 비표준 권한을 나열합니다.
# get the OU
$OUs = Get-ADOrganizationalUnit -Filter 'DistinguishedName -eq "OU=Users,OU=Paris,DC=woshub,DC=com"'| Select-Object -ExpandProperty DistinguishedName
$schemaIDGUID = @{}
$ErrorActionPreference = 'SilentlyContinue'
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -Properties name, schemaIDGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.schemaIDGUID,$_.name)}
Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.rightsGUID,$_.name)}
$ErrorActionPreference = 'Continue'
ForEach ($OU in $OUs) {
$report += Get-Acl -Path "AD:\$OU" |
Select-Object -ExpandProperty Access |
Select-Object @{name='organizationalUnit';expression={$OU}}, `
@{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaIDGUID.Item($_.objectType)}}}, `
@{name='inheritedObjectTypeName';expression={$schemaIDGUID.Item($_.inheritedObjectType)}}, `
*
}
# report with assigned OU permissions
그래픽 Out-GridView cmdlet을 사용하여 위임된 권한 보고서를 얻을 수 있습니다.
$report| where {($_.IdentityReference -notlike "*BUILTIN*") -and ($_.IdentityReference -notlike "*NT AUTHORITY*") }| Out-GridView
또는 Excel에서 추가 분석을 위해 권한 목록을 CSV 파일로 내보냅니다(PowerShell 스크립트에서 Excel 파일에 직접 데이터를 쓸 수 있음).$report | Export-Csv -Path "C:\reports\AD_OU_Permissions.csv" –NoTypeInformation
결과 보고서는 HelpDesk 그룹이 OU에서 사용자 암호(ObjectTypeName=User-Force-Change-Password)를 재설정할 수 있는 권한을 위임받았음을 보여줍니다.
dsacl을 사용할 수 있습니다. OU에 권한을 위임하는 도구입니다. 예:
dsacls "ou=users,ou=paris,dc=woshub,dc=com" /I:S /G "WOSHUB\HELPDESK:CA;Reset Password;user" "WOSHUB\HELPDESK:WP;pwdLastSet;user" "WOSHUB\HELPDESK:WP;lockoutTime;user
PowerShell을 사용하여 조직 구성 단위 컨테이너에 권한을 할당할 수도 있습니다(이 예에서는 암호 재설정 권한이 위임됨).
$ou = "AD:\OU=users,OU=Paris,DC=woshub,DC=com"
$group = Get-ADGroup helpdesk
$sid = new-object System.Security.Principal.SecurityIdentifier $group.SID
$ResetPassword = [GUID]"00299570-246d-11d0-a768-00aa006e0529"
$UserObjectType = "bf967aba-0de6-11d0-a285-00aa003049e2"
$ACL = get-acl $OU
$RuleResetPassword = New-Object System.DirectoryServices.ActiveDirectoryAccessRule ($sid, "ExtendedRight", "Allow", $ResetPassword, "Descendents", $UserObjectType)
$ACL.AddAccessRule($RuleResetPassword)
Set-Acl -Path $OU -AclObject $ACL
마찬가지로 PowerShell을 사용하여 AD 조직 컨테이너에 다른 권한을 위임할 수 있습니다.