Computer >> 컴퓨터 >  >> 체계 >> Windows 10

그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가

GPO를 사용할 수 있습니다. (그룹 정책) 추가 Active Directory 사용자 및 그룹을 로컬 관리자로 도메인에 가입된 서버 및 워크스테이션의 그룹입니다. 이를 통해 기술 지원 직원, 헬프데스크 팀, 특정 사용자 또는 기타 권한 있는 계정에 도메인 컴퓨터에 대한 로컬 관리자 권한을 부여할 수 있습니다. 이 문서에서는 GPO를 사용하여 도메인 컴퓨터에서 로컬 관리자 그룹의 구성원을 관리하는 방법을 보여줍니다.

Active Directory 도메인의 로컬 관리자 그룹

컴퓨터를 AD 도메인에 가입시키면 Domain Admins 그룹이 자동으로 로컬 관리자에 추가됩니다. 그룹 및 도메인 사용자 그룹이 로컬 사용자에 추가됩니다. 그룹.

컴퓨터에서 로컬 관리자 권한을 부여하는 가장 쉬운 방법은 로컬 보안 그룹 관리자에 사용자 또는 그룹을 추가하는 것입니다. 로컬 사용자 및 그룹 사용 스냅인(lusrmgr.msc ). 그러나 이 방법은 컴퓨터가 많고 원하지 않는 사람들이 특권 그룹의 구성원으로 남아 있을 수 있는 경우에는 편리하지 않습니다. 이 방법을 사용하여 로컬 권한을 부여하는 경우 각 도메인 컴퓨터에서 로컬 관리자 그룹의 구성원을 제어하는 ​​것이 편리하지 않습니다.

그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가

Microsoft는 AD 도메인에서 관리 권한을 분리하기 위해 다음 그룹을 사용할 것을 권장합니다.

  1. 도메인 관리자 도메인 컨트롤러에서만 사용됩니다. 권한 있는 관리자 계정에 대한 보안 관점에서 도메인 관리자 권한이 있는 계정으로 워크스테이션 및 서버에서 일상적인 관리 작업을 수행하는 것은 권장되지 않습니다. 이러한 계정은 AD 관리(새 도메인 컨트롤러 추가, 복제 관리, Active Directory 스키마 수정 등)에만 사용해야 합니다. 대부분의 사용자, 컴퓨터 또는 GPO 관리 작업은 도메인 관리자 권한 없이 일반 관리자 계정에 위임해야 합니다. Domain Admin 계정을 사용하여 도메인 컨트롤러 이외의 워크스테이션이나 서버에 로그온하지 마십시오.
  2. 서버 관리자 도메인 구성원 서버를 관리할 수 있는 그룹입니다. 워크스테이션에서 Domain Admins 그룹 또는 로컬 Administrators 그룹의 구성원이 아니어야 합니다.
  3. 워크스테이션 관리자 워크스테이션에서만 관리 작업을 수행하기 위한 그룹입니다. Domain Admins 및 Server Admins 그룹의 구성원이 아니어야 합니다.
  4. 도메인 사용자 일반적인 사무실 작업을 수행하는 일반적인 사용자 계정입니다. 서버나 워크스테이션에 대한 관리자 권한이 없어야 합니다.
또한 도메인 사용자 또는 그룹에 대한 관리자 권한 제공을 완전히 거부할 수도 있습니다. 이 경우 AD(LAPS 기반)에 암호가 저장된 기본 제공 로컬 관리자 계정을 사용하여 워크스테이션에서 관리 작업을 수행합니다.

특정 OU의 컴퓨터에 대한 로컬 관리자 권한을 기술 지원 및 헬프데스크 직원 그룹에 부여한다고 가정합니다. PowerShell을 사용하여 도메인에 새 보안 그룹을 만들고 여기에 기술 지원 계정을 추가합니다.

New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=com' -GroupScope Global –PassThru
Add-AdGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher

도메인 그룹 정책 관리 콘솔(GPMC.msc)을 엽니다. ), 새 정책(GPO) AddLocaAdmins 생성 컴퓨터를 포함하는 OU에 연결합니다(제 예에서는 'OU=Computers,OU=Munich,OU=DE,DC=woshub,DC=com').

AD 그룹 정책은 도메인 컴퓨터에서 로컬 그룹을 관리하는 두 가지 방법을 제공합니다. 차례대로 공부합시다:

  • 그룹 정책 기본 설정을 사용한 로컬 그룹 관리
  • 제한된 그룹.

GPO 기본 설정을 통해 도메인 사용자를 로컬 관리자에 추가하는 방법은 무엇입니까?

GPP(그룹 정책 기본 설정)는 GPO를 통해 도메인 컴퓨터에 대한 로컬 관리자 권한을 부여하는 가장 유연하고 편리한 방법을 제공합니다.

  1. AddLocaAdmins 열기 수정에서 이전에 만든 GPO 모드;
  2. 다음 GPO 섹션으로 이동합니다. 컴퓨터 구성 –> 기본 설정 –> 제어판 설정 –> 로컬 사용자 및 그룹;
  3. 새 규칙 추가(신규 -> 로컬 그룹 ); 그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가
  4. 업데이트 선택 작업 필드에서 (중요한 옵션입니다!);
  5. 그룹 이름 드롭다운 목록에서 관리자(내장)를 선택합니다. 이 그룹의 이름이 컴퓨터에서 변경된 경우에도 설정은 해당 SID(S-1-5-32-544)별로 로컬 관리자 그룹에 적용됩니다.;
  6. 추가를 클릭합니다. 버튼을 누르고 로컬 관리자 그룹에 추가할 그룹을 선택합니다(이 경우 munWKSAdmins). ); 현재 로컬 Admins 그룹에서 수동으로 추가한 사용자 및 그룹을 제거하려면 "모든 구성원 사용자 삭제 " 및 "모든 구성원 그룹 삭제 "옵션. 할당된 도메인 그룹만 도메인 컴퓨터에 대한 관리자 권한을 갖도록 보장하므로 대부분의 경우 합리적입니다. 그런 다음 "로컬 사용자 및 그룹" 스냅인을 사용하여 수동으로 관리자 그룹에 사용자를 추가하면 다음에 정책이 적용될 때 자동으로 제거됩니다. 그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가
  7. 정책을 저장하고 워크스테이션에 적용될 때까지 기다립니다. 정책을 즉시 적용하려면 다음 명령어를 실행하세요. gpupdate /force 사용자 컴퓨터에서,
  8. lusrmgr.msc를 엽니다. 모든 컴퓨터에서 스냅인을 만들고 로컬 관리자 그룹 구성원을 확인합니다. munWKSAdmins만 그룹은 이 그룹에 추가되고 다른 사용자 및 그룹은 제거됩니다. net localgroup Administrators 명령을 사용하여 로컬 관리자 목록을 표시할 수 있습니다.
정책이 도메인 컴퓨터에 적용되지 않은 경우 gpresult 명령을 사용하여 문제를 진단합니다. 또한 컴퓨터가 GPO가 연결된 OU에 있는지 확인하고 "그룹 정책 개체가 컴퓨터에 적용되지 않음" 문서의 권장 사항을 확인하십시오.

GPO WMI 필터 또는 항목 수준 타겟팅을 사용하여 특정 컴퓨터에서 정책을 타겟팅하기 위한 추가(세부적) 조건을 구성할 수 있습니다. .

두 번째 경우에는 공통 탭을 클릭하고 항목 수준 타겟팅을 확인합니다. . 타겟팅을 클릭합니다. . 여기에서 정책이 적용될 조건을 지정할 수 있습니다. 예를 들어, NetBIOS/DNS 이름에 adm이 포함되지 않은 Windows 10 컴퓨터에만 관리자 그룹을 추가하는 정책을 적용하고 싶습니다. . 고유한 필터링 옵션을 사용할 수 있습니다.

그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가

이 정책에 개별 사용자 계정을 추가하지 않는 것이 좋습니다. 도메인 보안 그룹을 사용하는 것이 좋습니다. 이 경우 다른 기술 지원 직원에게 관리자 권한을 부여하려면 도메인 그룹에 추가하면 충분합니다(GPO를 편집할 필요 없음).

제한된 그룹을 사용하여 로컬 관리자 그룹 관리

제한된 그룹 정책을 통해 컴퓨터의 로컬 보안 그룹에 도메인 그룹/사용자를 추가할 수도 있습니다. 이것은 로컬 관리자 권한을 부여하는 오래된 방법이며 지금은 덜 사용됩니다(그룹 정책 기본 설정 방법보다 유연성이 떨어짐).

  1. 편집 모드에서 GPO 열기
  2. 컴퓨터 구성 -> 정책 -> 보안 설정 -> 제한된 그룹 섹션 확장;
  3. 그룹 추가 선택 컨텍스트 메뉴에서; 그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가
  4. 다음 창에서 관리자를 입력합니다. 확인을 클릭합니다. 그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가
  5. 추가 클릭 이 그룹의 구성원 섹션에서 로컬 관리자에 추가할 그룹을 지정합니다. 그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가
  6. 변경 사항을 저장하고 사용자 컴퓨터에 정책을 적용하고 로컬 관리자를 확인합니다. 그룹. 정책에서 지정한 그룹만 포함해야 합니다.
이 정책은 항상(! ) 로컬 관리자 그룹의 다른 모든 구성원을 제거합니다(수동으로 추가하거나 다른 정책 또는 스크립트를 사용하여 추가). 제한된 그룹 설정이 있는 여러 정책이 컴퓨터에 대해 활성 상태인 경우 마지막 정책만 적용됩니다. 먼저 munWKSAdmins 를 추가하여 이 제한을 우회할 수 있습니다. 그룹을 제한된 그룹에 추가한 다음 이 그룹을 관리자 그룹에 추가합니다.

GPO를 사용하여 특정 컴퓨터의 로컬 관리자 그룹에 단일 사용자 추가

경우에 따라 단일 사용자에게 특정 컴퓨터에 대한 관리자 권한을 부여해야 할 수도 있습니다. 예를 들어, 드라이버를 테스트하거나 컴퓨터에 디버그하거나 설치하기 위해 때때로 높은 권한이 필요한 개발자가 여러 명 있습니다. 모든 컴퓨터의 워크스테이션 관리자 그룹에 추가하는 것은 바람직하지 않습니다.

특정 컴퓨터에 대한 로컬 관리자 권한을 부여하려면 다음 구성표를 사용할 수 있습니다.

AddLocalAdmins의 GPO 기본 설정 섹션(컴퓨터 구성 –> 기본 설정 –> 제어판 설정 –> 로컬 사용자 및 그룹) 오른쪽 이전에 만든 정책은 다음 설정을 사용하여 Administrators 그룹에 대한 새 항목을 만듭니다.

  • 액션 :Update
  • 그룹 이름 :Administrators (Built-in)
  • 설명 :“Add amuller to the local administrators on the mun-dev-wsk21 computer "
  • 회원 :추가 -> amuller 그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가
  • 공통 -> 타겟팅 탭에서 다음 규칙을 지정합니다. “the NETBIOS computer name is mun—dev-wks24. " 이 정책은 여기에서 지정한 컴퓨터에만 적용된다는 의미입니다. 그룹 정책을 통해 로컬 관리자 그룹에 사용자 추가

또한 그룹이 컴퓨터에 적용되는 순서(Order GPP 열). 로컬 그룹 설정은 위에서 아래로 적용됩니다(Order 1부터 시작). 수단).

첫 번째 GPP 정책(위에 설명된 "모든 구성원 사용자 삭제" 및 "모든 구성원 그룹 삭제" 설정 포함)은 로컬 관리자 그룹에서 모든 사용자/그룹을 제거하고 지정된 도메인 그룹을 추가합니다. 그런 다음 지정된 사용자를 로컬 관리자에 추가하는 추가 컴퓨터별 정책이 적용됩니다. 관리자 그룹의 구성원 순서를 변경하려면 GPO 편집기 콘솔 상단에 있는 버튼을 사용하십시오.