Active Directory 사용자 계정은 사람과 같은 실제 엔터티를 나타냅니다. 사용자 계정을 일부 응용 프로그램에 대한 전용 서비스 계정으로 사용할 수도 있습니다.
사용자 계정은 보안 주체라고도 합니다. 보안 주체는 도메인 리소스에 액세스하는 데 사용될 수 있는 SID(보안 식별자)가 자동으로 할당되는 디렉터리 개체입니다. 사용자 계정은 주로 다음과 같은 역할을 합니다.
-
사용자 ID를 인증합니다.
사용자는 사용자 계정을 사용하여 도메인에서 인증할 수 있는 ID로 컴퓨터와 도메인에 로그온할 수 있습니다. 네트워크에 로그온하는 사용자마다 고유한 사용자 계정 및 암호를 가지고 있어야 합니다. 보안을 최대화하려면 계정 하나를 여러 사용자가 공유하지 못하도록 해야 합니다.
-
도메인 리소스에 대한 액세스를 인증하거나 거부합니다.
사용자가 인증된 후에는 리소스에 대해 사용자에게 할당되는 명시적 사용 권한을 기반으로 도메인 리소스에 대한 액세스 권한이 해당 사용자에게 부여되거나 거부됩니다.
사용자 계정
Active Directory 관리 센터의 사용자 컨테이너에는 세 가지 기본 제공 사용자 계정인 Administrator, Guest 및 HelpAssistant가 포함됩니다. 이러한 기본 제공 사용자 계정은 도메인을 만들 때 자동으로 만들어집니다.
각 기본 제공 계정은 서로 다른 조합의 권한과 사용 권한을 가집니다. Administrator 계정은 도메인에 대해 가장 광범위한 권한 및 사용 권한을 가지며, Guest 계정은 제한된 권한 및 사용 권한을 가집니다. 다음 표에서는 Windows Server 2008 R2를 실행하는 도메인 컨트롤러의 각 기본 사용자 계정에 대해 설명합니다.
| 기본 사용자 계정 | 설명 | ||||
|---|---|---|---|---|---|
|
Administrator |
Administrator 계정은 도메인에 대한 모든 권한을 가집니다. 필요할 경우 사용자 권한 및 액세스 제어 권한을 도메인 사용자에게 할당할 수 있습니다. 이 계정은 관리 자격 증명이 필요한 작업에만 사용하십시오. 강력한 암호로 이 계정을 설정하는 것이 좋습니다. Administrator 계정은 Active Directory 그룹인 Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners 및 Schema Admins 그룹의 기본 구성원입니다. Administrator 계정은 Administrators 그룹에서 삭제하거나 제거할 수 없지만 이름을 바꾸거나 사용하지 않도록 설정할 수는 있습니다. Administrator 계정은 여러 Windows 버전에 있는 것으로 알려져 있기 때문에 이 계정의 이름을 바꾸거나 이 계정을 사용하지 않도록 설정하면 악의적인 사용자가 계정에 액세스하기가 더 어려워집니다. Administrator 계정은 Active Directory 도메인 서비스 설치 마법사로 새 도메인을 설정할 때 가장 먼저 만들어지는 계정입니다.
| ||||
|
Guest |
도메인에서 실제 계정을 갖고 있지 않은 사용자는 Guest 계정을 사용할 수 있습니다. 계정이 있지만 사용하지 않도록 설정된 사용자도 Guest 계정을 사용할 수 있습니다. Guest 계정은 암호가 필요하지 않습니다. 다른 사용자 계정과 마찬가지로 Guest 계정의 권한과 사용 권한을 설정할 수 있습니다. 기본적으로 Guest 계정은 기본 제공 Guests 그룹 및 Domain Guests 글로벌 그룹의 구성원으로, 사용자는 이를 사용하여 도메인에 로그온할 수 있습니다. Guest 계정은 기본적으로 사용할 수 없도록 설정되어 있으며 이 설정을 그대로 유지하는 것이 좋습니다. | ||||
|
HelpAssistant(원격 지원 세션을 사용하여 설치됨) |
HelpAssistant 계정은 원격 지원 세션을 설정하기 위한 주 계정입니다. 이 계정은 원격 지원 세션이 요청될 때 자동으로 만들어지며, 컴퓨터에 대해 제한된 액세스 권한을 가집니다. 원격 데스크톱 도움말 세션 관리자 서비스에서 HelpAssistant 계정을 관리합니다. 보류 중인 원격 지원 요청이 없으면 이 계정은 자동으로 삭제됩니다. |
사용자 계정 보안
네트워크 관리자가 기본 제공 계정의 권한 및 사용 권한을 수정하지 않으면 악의적인 사용자 또는 서비스가 Administrator 계정 또는 Guest 계정을 사용하여 도메인에 무단으로 로그온할 수 있습니다. 이러한 계정을 보호하기 위한 좋은 보안 방법은 이름을 바꾸거나 사용하지 않도록 설정하는 것입니다. SID는 그대로 유지되므로 이름을 바꾼 사용자 계정에서 설명, 암호, 그룹 구성원 자격, 사용자 프로필, 계정 정보 및 할당된 모든 사용 권한과 사용자 권한 등의 다른 속성이 모두 그대로 유지됩니다.
사용자 인증 및 권한 부여의 보안 이점을 얻으려면 Active Directory 관리 센터를 사용하여 네트워크에 참여할 각 사용자에 대해 개별 사용자 계정을 만듭니다. 그런 다음 Administrator 계정 및 Guest 계정을 포함한 각 사용자 계정을 그룹에 추가하여 해당 계정에 할당되는 권한 및 사용 권한을 제어할 수 있습니다. 네트워크에 대해 적합한 계정 및 그룹이 있으면 해당 네트워크에 로그온하는 사용자를 식별할 수 있으며 해당 사용자가 허용된 리소스에 대해서만 액세스 권한을 가졌는지 확인할 수 있습니다.
강력한 암호를 요구하고 계정 잠금 정책을 구현함으로써 공격자로부터 도메인을 보호할 수 있습니다. 강력한 암호는 쉬운 암호 추측 및 암호에 대한 사전 공격의 위험을 줄여 줍니다. 계정 잠금 정책은 공격자가 반복된 로그온 시도를 통해 도메인을 손상시킬 가능성을 줄여 줍니다. 계정 잠금 정책에 따라 허용 가능한 사용자 계정 로그온 시도 실패 횟수가 결정됩니다.
InetOrgPerson 계정
AD DS(Active Directory 도메인 서비스)는 RFC(Requests for Comments) 2798에 정의된 것처럼 InetOrgPerson 개체 클래스 및 해당 관련 특성을 지원합니다. InetOrgPerson 개체 클래스는 조직의 구성원을 나타내기 위해 여러 비 Microsoft LDAP(Lightweight Directory Access Protocol) 및 X.500 디렉터리 서비스에서 사용됩니다.
InetOrgPerson에 대한 지원은 다른 LDAP 디렉터리에서 AD DS로의 보다 효율적인 마이그레이션을 가능하게 합니다. InetOrgPerson 개체는 user 클래스에서 파생되며, user 클래스의 개체와 마찬가지로 보안 주체로 작동할 수 있습니다. inetOrgPerson 사용자 계정을 만드는 방법에 대한 자세한 내용은 새 사용자 계정 만들기를 참조하십시오.
도메인 기능 수준을 Windows Server 2008 또는 Windows Server 2008 R2로 설정하면 unicodePwd 특성을 사용할 때와 같이 효과적인 암호가 되도록 InetOrgPerson과 사용자 개체에 userPassword 특성을 설정할 수 있습니다.