Active Directory 도메인 서비스 설치 마법사의 암호 복제 정책 지정 마법사 페이지는 사용자가 RODC(읽기 전용 도메인 컨트롤러) 계정을 만들 때 나타나며, 마법사의 Active Directory 도메인 서비스 설치 마법사 시작 페이지에서 고급 모드 설치 사용 확인란을 선택하는 경우에만 사용할 수 있습니다.
암호 복제 정책 작동 방법
PRP(암호 복제 정책)은 RODC가 자격 증명 캐싱을 수행하는 방법을 결정합니다. 자격 증명 캐시는 사용자 또는 컴퓨터 자격 증명의 저장소입니다.
RODC에 의해 서비스되는 사용자나 컴퓨터가 도메인에 인증받으려고 할 때 기본적으로 RODC는 이 사용자나 컴퓨터의 자격 증명의 유효성을 검사할 수 없습니다. 그 다음에 RODC는 인증 요청을 쓰기 가능한 도메인 컨트롤러로 전달합니다. 그러나 RODC에 의해 서비스되는 사이트에서 인증해야 하는 보안 주체 집합이 있을 수 있으며, 경우에 따라 이러한 보안 주체는 쓰기 가능한 도메인 컨트롤에 연결되어 있지 않을 수도 있습니다.
예를 들어 쓰기 가능한 도메인 컨트롤러가 포함된 사이트와 지점 간에 연결은 없지만 지점에 인증할 사용자와 컴퓨터 집합이 있을 수 있습니다. 이 문제를 해결하려면 해당 RODC에 대한 PRP를 구성하여 이러한 사용자의 암호를 RODC에 캐시할 수 있도록 할 수 있습니다. 계정 암호가 RODC에 캐시되어 있으면 쓰기 가능한 도메인 컨트롤러와의 연결을 사용할 수 없을 때 RODC가 이러한 계정을 인증할 수 있습니다.
PRP는 ACL(액세스 제어 목록)로 사용되며 RODC에서 계정의 자격 증명을 캐시하도록 허용할지 여부를 결정합니다. RODC는 사용자 또는 컴퓨터 로그온 요청을 받으면 Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 쓰기 가능한 도메인 컨트롤러에서 해당 계정의 자격 증명을 복제하려고 합니다. 쓰기 가능한 도메인 컨트롤러는 PRP를 참조하여 해당 계정에 대한 자격 증명을 캐시해야 하는지 확인합니다. PRP에서 계정을 캐시하도록 허용하면 쓰기 가능한 도메인 컨트롤러가 해당 계정의 자격 증명을 RODC로 복제하고 RODC가 이 자격 증명을 캐시합니다. 해당 계정에 대한 이후 로그온 중에 RODC는 캐시된 자격 증명을 참조하여 계정을 인증할 수 있습니다. RODC는 쓰기 가능한 도메인 컨트롤러에 연결할 필요가 없습니다.
PRP 작동
PRP는 보안 주체(사용자, 컴퓨터 및 그룹)를 포함하는 두 개의 다중값 Active Directory 특성으로 정의됩니다. 각 RODC 컴퓨터 계정에 포함되어 있는 두 개의 특성은 다음과 같습니다.
-
msDS-Reveal-OnDemandGroup(허용 목록이라고도 함)
-
msDS-NeverRevealGroup(거부 목록이라고도 함)
PRP 관리에 도움이 되도록 각 RODC에 대해 유지 관리되는 PRP와 관련된 다른 두 개의 특성은 다음과 같습니다.
-
msDS-RevealedList(표시 목록이라고도 함)
-
msDS-AuthenticatedToAccountList(인증 목록이라고도 함)
msDS-Reveal-OnDemandGroup 특성은 암호를 RODC에 캐시할 수 있는 보안 주체를 지정합니다. 기본적으로 이 특성에는 허용된 RODC 암호 복제 그룹이라는 하나의 값이 지정됩니다. 이 도메인 로컬 그룹에는 기본적으로 구성원이 없으므로 계정 암호를 RODC에 캐시할 수 없습니다.
이 섹션에서는 허용 목록, 거부 목록, 표시 목록 및 인증 목록의 사용 방법을 설명합니다.
RODC가 사용자 암호를 복제하라고 요청하면 RODC가 연결하는 쓰기 가능한 Windows Server 2008 도메인 컨트롤러는 요청을 허용하거나 거부합니다. 쓰기 가능한 도메인 컨트롤러는 요청이 있는 RODC에 대해 허용 목록 및 거부 목록의 값을 검사하여 요청을 허용하거나 거부합니다.
RODC에서 요청하는 암호를 가진 계정이 해당 RODC의 거부 목록이 아닌 허용 목록에 있으면 요청이 허용됩니다.
다음 그림에서는 이 작업이 진행되는 방법을 보여줍니다.
거부 목록은 허용 목록보다 우선합니다.
예를 들어 조직에 Admins라는 관리자용 보안 그룹이 있다고 가정합니다. 조직에는 S1이라는 사이트가 하나 있고 사이트의 직원이 포함되어 있는 Emp_S1이라는 보안 그룹이 있습니다. 조직에 S2라는 다른 사이트가 있고 사이트의 직원이 포함되어 있는 Emp_S2라는 보안 그룹이 있습니다.
사이트 S2에는 RODC만 있습니다. 상진은 사이트 S2에서 일하는 관리자입니다. 따라서 상진은 Emp_S2 그룹과 Admins 그룹 둘 다에 속합니다. 사이트 S2의 RODC가 설치되면 다음 표에 나열된 보안 그룹이 PRP에 추가됩니다.
보안 그룹 | PRP 설정 |
---|---|
Admins |
거부 |
Emp_S2 |
허용 |
지정한 정책에 따라 사이트 S2의 RODC에 캐시할 수 있는 자격 증명은 Admins에 속하지 않은 Emp_S2 그룹의 구성원에 대한 자격 증명만 가능합니다. Emp_S1 및 Admins 그룹의 구성원은 RODC에 캐시된 자격 증명을 가질 수 없습니다. Emp_S2 그룹의 구성원은 RODC에 캐시된 자격 증명을 가질 수도 있습니다. 상진의 자격 증명은 RODC에 캐시되지 않습니다.
기본 PRP 설정
각 RODC에는 자신의 암호를 RODC에 복제할 수 있는 계정 및 RODC에 명시적으로 복제할 수 없는 계정을 정의하는 PRP가 있습니다. 기본 정책은 다음 표의 그룹 및 설정을 지정합니다.
그룹 이름 | PRP 설정 |
---|---|
Administrators |
거부 |
Server Operators |
거부 |
Backup Operators |
거부 |
Account Operators |
거부 |
Denied RODC Password Replication 그룹 |
거부 |
Allowed RODC Password Replication 그룹 |
허용 |
Denied RODC Password Replication 그룹에는 기본적으로 다음 도메인 계정 구성원이 포함됩니다.
-
Cert Publishers
-
Domain Admins
-
Enterprise Admins
-
Enterprise Domain Controllers
-
Enterprise Read-Only Domain Controllers
-
Group Policy Creator Owners
-
krbtgt
-
Schema Admins
Allowed RODC Password Replication 그룹에는 기본적으로 구성원이 없습니다.
기본 PRP는 계정 암호가 기본적으로 저장되지 않는지 및 보안 관련 계정(예: Domain Admins 그룹 구성원)이 자신의 암호를 RODC에 명시적으로 저장하지 못하는지를 확인하여 RODC 설치 보안을 향상시킵니다.
기본 PRP 수정
RODC에 대한 계정을 만들 때 또는 RODC 계정이 만들어진 후에 기본 PRP를 수정할 수 있습니다. RODC 계정이 만들어진 후 기본 PRP를 수정하려면 Active Directory 사용자 및 컴퓨터 스냅인에서 도메인 컨트롤러 OU(조직 구성 단위)의 RODC 계정을 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 후 암호 복제 정책 탭을 클릭합니다. Active Directory 사용자 및 컴퓨터 스냅인을 열려면 시작을 클릭하고 관리 도구를 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.
RODC 계정을 만들 때 기본 PRP에 계정을 추가하려면 암호 복제 정책 지정 마법사 페이지에서 추가를 클릭한 후 계정에 대한 암호를 RODC에 저장할 수 있도록 할지 여부를 지정합니다. 그런 다음 사용자, 컴퓨터 또는 그룹 선택 대화 상자를 사용하여 추가할 계정을 선택합니다.
PRP에 적절한 사용자, 컴퓨터 및 서비스 계정을 포함해야 RODC가 인증 및 서비스 티켓 요청을 로컬로 처리할 수 있습니다. 지점 사용자가 네트워크에 로그온하는 데 사용할 컴퓨터 계정을 허용 목록에 포함하지 않으면 RODC는 서비스 티켓 요청을 로컬로 처리할 수 없으며 쓰기 가능한 도메인 컨트롤러에 액세스하여 이러한 요청을 처리합니다. WAN(광역 네트워크)이 오프라인이면 서비스가 중단될 수도 있습니다.
Deny 설정은 Allow 설정보다 우선합니다. 지정한 사용자에게 두 설정을 모두 지정하면(사용자가 지정된(또는 지정된 보안 그룹에서 중첩된) 보안 그룹의 구성원이므로 직접 또는 간접적으로 지정) 사용자 암호를 RODC에 저장할 수 없습니다. 그러나 WAN을 쓰기 가능한 도메인 컨트롤러로 연결할 수 있으면 암호를 RODC에 저장할 수 없는 사용자는 RODC를 사용하여 로그온할 수 있습니다. 사용자 암호는 RODC에 복제되지 않지만 WAN을 통해 쓰기 가능한 도메인 컨트롤러에서 로그온을 인증할 수 있습니다.
다음 표에서는 세 가지 PRP 구성 예의 장점과 단점을 설명합니다.
예제 | 장점 | 단점 |
---|---|---|
계정이 캐시되지 않음(기본값) |
가장 안전합니다. 사용자가 쓰기 가능한 도메인 컨트롤러에서 인증되며 그룹 정책을 RODC에서 가져와 정책 처리가 빠릅니다. |
오프라인 액세스가 허용되지 않으며 로그온에 WAN이 필요합니다. |
대부분의 계정이 캐시됨 |
암호를 관리하기가 쉽습니다. 이 옵션은 보안보다는 RODC의 관리 효율 향상을 가장 중요하게 여기는 조직에 적합합니다. |
더 많은 암호가 RODC에 노출될 수 있습니다. |
소수의 계정이 캐시됨 |
오프라인 액세스를 요구하는 사용자에 대해 오프라인 액세스를 허용하지만, 대부분의 계정을 캐시하는 것보다 더 높은 보안 수준을 제공합니다. |
이 방법에는 보다 세부적인 관리가 필요합니다. 사용자와 컴퓨터를 RODC가 있는 각 지점에 매핑해야 할 수 있습니다. 또한 repadmin /prp와 같은 도구를 사용하여 RODC에 인증된 계정을 허용 목록의 그룹으로 이동하거나 ILM(ID 수명 주기 관리자)를 사용하여 이 프로세스를 자동화해야 할 수 있습니다. |
다음 섹션에서는 각 예에 대해 자세히 설명합니다.
계정이 캐시되지 않음
이 예는 가장 안전한 옵션을 제공합니다. RODC 컴퓨터 계정과 특수한 krbtgt 계정을 제외하고 어떤 암호도 RODC로 복제되지 않습니다. 그러나 사용자 및 컴퓨터의 인증은 WAN 가용성에 따라 좌우됩니다. 이 예에는 기본 설정 외에 추가 관리 구성이 거의 필요 없다는 이점이 있습니다.
거부 목록에 보안 관련 사용자 그룹을 추가하도록 선택할 수 있습니다. 기본적으로 계정이 캐시되지 않지만 보안 관련 사용자 그룹을 거부 목록에 추가하면 이러한 그룹이 허용 목록에 우연히 포함되거나 추후에 이 그룹의 암호가 RODC에서 캐시되는 경우를 방지할 수 있습니다.
위임된 RODC 관리자 계정이 허용 목록에 자동으로 추가되지는 않습니다. 위임된 RODC 관리자 계정을 허용 목록에 추가하여 쓰기 가능한 도메인 컨트롤러와의 WAN 연결을 사용할 수 있는지 여부와 관계없이 위임된 관리자가 RODC에 항상 로그온할 수 있도록 하는 것이 좋습니다.
대부분의 계정이 캐시됨
이 예는 가장 간단한 관리 모드이며 WAN 가용성에 관계없이 사용자와 컴퓨터를 인증할 수 있습니다. 이 예에서는 모든 RODC의 허용 목록이 대부분의 사용자 및 컴퓨터 모집단을 나타내는 그룹으로 채워집니다. 거부 목록은 Domain Admins와 같은 보안 관련 사용자 그룹이 암호를 캐시하는 것을 허용하지 않습니다. 그러나 대부분의 다른 사용자들은 필요할 때 자신의 암호를 캐시할 수 있습니다. 거부 목록에 보안 관련 사용자 그룹을 추가하도록 선택할 수 있습니다.
이 구성은 실제 RODC 보안이 위험하지 않은 환경에 가장 적합합니다. 예를 들어 안전한 위치에 배포한 RODC에 대한 PRP를 이 방법으로 구성하여 주로 복제 및 관리 요구 사항을 줄일 수 있습니다.
중요 | |
또한 사용자의 컴퓨터 계정을 허용 목록에 추가해야만 WAN이 오프라인 상태일 때 이러한 사용자가 지점에서 로그온할 수 있습니다. |
소수의 계정이 캐시됨
이 예는 캐시할 수 있는 계정을 제한합니다. 일반적으로 RODC마다 별도로 이 계정을 정의합니다. 즉, 각 RODC는 캐시할 수 있는 서로 다른 집합의 사용자 및 컴퓨터 계정을 가집니다. 일반적으로 이 예는 특정 실제 위치에서 작업하는 사용자 집합에 적합합니다.
이 예의 장점은 WAN이 오프라인 상태이더라도 지점에서 네트워크에 로그온할 수 있고 RODC에 의해 인증될 수 있다는 점입니다. 동시에, 암호를 캐시할 수 있는 사용자 수가 줄어들어 암호의 노출 범위가 제한됩니다.
이 예에서는 허용 목록과 거부 목록을 채우는 과정에서 관리 오버헤드가 발생합니다. 지정한 RODC에 대해 인증된 보안 주체의 알려진 목록에서 계정을 자동으로 읽는 기본 방법은 없으며 이러한 계정으로 허용 목록을 채우는 기본 방법도 없습니다. repadmin /prp move 명령을 사용하여 이러한 계정의 허용 목록의 그룹으로 이동하거나 ILM과 같은 응용 프로그램이나 스크립트를 사용하여 프로세스를 만들 수 있습니다.
사용자나 컴퓨터 계정을 허용 목록에 직접 추가할 수도 있지만, 이보다는 각 RODC에 대한 보안 그룹을 만들어 허용 목록에 추가한 다음 사용자 및 컴퓨터 계정을 보안 그룹에 추가하는 것이 좋습니다. 이와 같이 하면 Active Directory 사용자 및 컴퓨터 스냅인과 같은 표준 그룹 관리 도구나 Dsadd 또는 Dsmod 명령줄 도구를 사용하여 RODC에 캐시할 수 있는 계정을 관리할 수 있습니다.
repadmin /prp move 명령에서는 보안 그룹을 지정해야 합니다. 지정한 보안 그룹이 없으면 그룹이 만들어져 허용 목록에 추가됩니다.
이전 예제와 마찬가지로 허용 목록에 적절한 컴퓨터 계정도 추가해야 합니다.