Active Directory 사용자 계정은 사람과 같은 실제 엔터티를 나타냅니다. 사용자 계정을 일부 응용 프로그램에 대한 전용 서비스 계정으로 사용할 수도 있습니다.

사용자 계정은 보안 주체라고도 합니다. 보안 주체는 도메인 리소스에 액세스하는 데 사용될 수 있는 SID(보안 식별자)가 자동으로 할당되는 디렉터리 개체입니다. 사용자 계정은 주로 다음을 수행합니다.

  • 사용자 ID를 인증합니다.

    사용자 계정을 사용하여 사용자는 도메인에서 인증할 수 있는 ID로 컴퓨터와 도메인에 로그온할 수 있습니다. 네트워크에 로그온하는 사용자마다 고유한 사용자 계정 및 암호을 가지고 있어야 합니다. 보안을 최대화하려면 계정 하나를 여러 사용자가 공유하지 못하도록 해야 합니다.

  • 도메인 리소스에 대한 액세스를 인증하거나 거부합니다.

    사용자가 인증된 후에는 리소스에 대해 사용자에게 할당되는 명시적 사용 권한을 기반으로 도메인 리소스에 대한 액세스 권한이 해당 사용자에게 부여되거나 거부됩니다.

사용자 계정

Active Directory 사용자 및 컴퓨터 스냅인의 사용자 컨테이너에는 세 가지 기본 제공 사용자 계정인 Administrator, Guest 및 HelpAssistant가 표시됩니다. 이러한 기본 제공 사용자 계정은 도메인을 만들 때 자동으로 만들어집니다.

각 기본 제공 계정은 서로 다른 조합의 권한과 사용 권한을 가집니다. Administrator 계정은 도메인에 대해 가장 광범위한 권한 및 사용 권한을 가지며, Guest 계정은 제한된 권한 및 사용 권한을 가집니다. 다음 표에서는 Windows Server® 2008 R2 운영 체제를 실행하는 도메인 컨트롤러의 각 기본 사용자 계정에 대해 설명합니다.

기본 사용자 계정 설명

Administrator

Administrator 계정은 도메인에 대한 모든 권한을 가집니다. 필요할 경우 사용자 권한 및 액세스 제어 권한을 도메인 사용자에게 할당할 수 있습니다. 이 계정은 관리 자격 증명이 필요한 작업에만 사용하십시오. 강력한 암호로 이 계정을 설정하는 것이 좋습니다.

Administrator 계정은 Active Directory 그룹인 Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners 및 Schema Admins 그룹의 기본 구성원입니다. Administrator 계정은 Administrators 그룹에서 삭제하거나 제거할 수 없지만 이름을 바꾸거나 사용하지 않도록 설정할 수는 있습니다. Administrator 계정은 여러 Windows 버전에 있는 것으로 알려져 있기 때문에 이 계정의 이름을 바꾸거나 이 계정을 사용하지 않도록 설정하면 악의적인 사용자가 계정에 액세스하기가 더 어려워집니다.

Administrator 계정은 Active Directory 도메인 서비스 설치 마법사로 새 도메인을 설정할 때 가장 먼저 만들어지는 계정입니다.

중요

Administrator 계정을 사용하지 않도록 설정했더라도 안전 모드로 도메인 컨트롤러에 액세스하는 데 사용할 수 있습니다.

Guest

도메인에서 실제 계정을 갖고 있지 않은 사용자는 Guest 계정을 사용할 수 있습니다. 계정이 있지만 사용하지 않도록 설정된 사용자도 Guest 계정을 사용할 수 있습니다. Guest 계정은 암호가 필요하지 않습니다.

다른 사용자 계정과 마찬가지로 Guest 계정의 권한과 사용 권한을 설정할 수 있습니다. 기본적으로 Guest 계정은 기본 제공 Guests 그룹 및 Domain Guests 글로벌 그룹의 구성원으로, 사용자는 이를 사용하여 도메인에 로그온할 수 있습니다. Guest 계정은 기본적으로 사용할 수 없도록 설정되어 있으며 이 설정을 그대로 유지하는 것이 좋습니다.

HelpAssistant(원격 지원 세션을 사용하여 설치됨)

원격 지원 세션 설정을 위한 주 계정입니다. 이 계정은 사용자가 원격 지원 세션을 요청할 때 자동으로 만들어지며, 컴퓨터에 대해 제한된 액세스 권한을 가집니다. HelpAssistant 계정은 원격 데스크톱 도움말 세션 관리자 서비스에 의해 관리됩니다. 보류 중인 원격 지원 요청이 없으면 이 계정은 자동으로 삭제됩니다.

사용자 계정 보안

기본 제공 계정 권한 및 사용 권한이 네트워크 관리자에 의해 수정되거나 사용하지 않도록 설정되지 않으면 악의적인 사용자 또는 서비스가 Administrator 계정 또는 Guest 계정을 사용하여 도메인에 무단으로 로그온하는 데 사용될 수 있습니다. 이러한 계정을 보호하기 위한 좋은 보안 방법은 이름을 바꾸거나 사용하지 않도록 설정하는 것입니다. SID는 그대로 유지되므로 이름을 바꾼 사용자 계정에서 설명, 암호, 그룹 구성원 자격, 사용자 프로필, 계정 정보 및 할당된 모든 사용 권한과 사용자 권한 같은 다른 속성이 모두 그대로 유지됩니다.

사용자 인증 및 권한 부여의 보안 이점을 얻으려면 Active Directory 사용자 및 컴퓨터를 사용하여 네트워크에 참가할 각 사용자에 대해 개별 사용자 계정을 만듭니다. 그런 다음 Administrator 계정 및 Guest 계정을 포함한 각 사용자 계정을 그룹에 추가하여 해당 계정에 할당되는 권한 및 사용 권한을 제어할 수 있습니다. 네트워크에 대해 적합한 계정 및 그룹이 있으면 해당 네트워크에 로그온하는 사용자를 식별할 수 있으며 해당 사용자가 허용된 리소스에 대해서만 액세스 권한을 가졌는지 확인할 수 있습니다.

강력한 암호를 요구하고 계정 잠금 정책을 구현함으로써 공격자로부터 도메인을 보호할 수 있습니다. 강력한 암호는 쉬운 암호 추측 및 암호에 대한 사전 공격의 위험을 줄여줍니다. 계정 잠금 정책은 공격자가 반복된 로그온 시도를 통해 도메인을 손상시킬 가능성을 줄여줍니다. 계정 잠금 정책에 따라 허용 가능한 사용자 계정 로그온 시도 실패 횟수가 결정됩니다.

계정 옵션

각 Active Directory 사용자 계정에는 네트워크에서 해당 특정 사용자 계정으로 로그온하는 사용자를 인증하는 방법을 결정하는 많은 계정 옵션이 있습니다. 다음 표의 옵션을 사용하여 사용자 계정에 대한 암호 설정 및 보안 관련 정보를 구성할 수 있습니다.

계정 옵션 설명

다음 로그온할 때 반드시 암호 변경

사용자가 다음에 네트워트에 로그온할 때 자신의 암호를 변경하도록 합니다. 해당 사용자만이 암호를 알게 하려는 경우 이 옵션을 사용하도록 설정합니다.

암호 변경할 수 없음

사용자가 자신의 암호를 변경할 수 없도록 합니다. Guest 계정이나 임시 계정과 같은 사용자 계정에 대한 권한을 유지 관리하려는 경우 이 옵션을 사용하도록 설정합니다.

암호 사용 기간 제한 없음

사용자 암호가 만료되지 않도록 합니다. 서비스 계정에서 이 옵션을 사용하고 강력한 암호를 사용하도록 하는 것이 좋습니다.

해독 가능한 암호화를 사용하여 암호 저장

사용자가 Apple 컴퓨터에서 Windows 네트워크에 로그온하도록 허용합니다. 사용자가 Apple 컴퓨터에서 로그온하지 않는 경우에는 이 옵션을 사용하도록 설정하지 마십시오.

계정 사용 안 함

사용자가 선택된 계정을 사용하여 로그온하지 못하도록 합니다. 대다수의 관리자들은 사용하지 않도록 설정된 계정을 일반 사용자 계정에 대한 템플릿으로 사용합니다.

대화형 로그온에 스마트 카드 필요

네트워크에 대화형으로 로그온하려면 사용자에게 스마트 카드가 있어야 합니다. 또 해당 사용자 컴퓨터에 스마트 카드 판독기도 부착되어 있어야 하며 해당 스마트 카드에 대한 유효한 PIN(개인 식별 번호)도 있어야 합니다. 이 옵션을 사용하도록 설정하면 사용자 계정의 암호는 임의의 복잡한 값으로 자동 설정되며 암호 사용 기간 제한 없음 계정 옵션이 설정됩니다.

위임에 대해 계정 신뢰할 수 있음

이 계정 하에서 실행되는 서비스에 대해 네트워크에서 다른 사용자 계정을 대신하여 작업을 수행할 수 있도록 허용합니다. 위임에 대해 신뢰할 수 있는 사용자 계정(즉, 서비스 계정) 하에서 실행되는 서비스는 해당 서비스가 실행되는 컴퓨터의 리소스 또는 다른 컴퓨터의 리소스에 액세스하기 위해 클라이언트를 가장할 수 있습니다. Windows Server 2008 R2 기능 수준으로 설정된 포리스트에서는 이 옵션이 위임 탭에 있습니다. Windows Server 2008 R2 setspn 명령을 사용한 설정에 따라 SPN(서비스 사용자 이름)이 할당된 계정에 대해서만 사용할 수 있습니다. 명령 창을 열고 setspn을 입력합니다. 이는 보안 관련 기능이므로 주의하여 할당하십시오.

이 옵션은 도메인 기능이 Windows® 2000 혼합 또는 Windows 2000 기본으로 설정된 Windows Server 2008 R2를 실행하는 도메인 컨트롤러에서만 사용할 수 있습니다. 도메인 기능 수준이 Windows Server 2008 또는 Windows Server 2008 R2 포리스트 기능 수준으로 설정된 Windows Server 2008 및 Windows Server 2008 R2을 실행하는 도메인 컨트롤러에서는 사용자 속성 대화 상자의 위임 탭을 사용하여 위임 설정을 구성합니다. 위임 탭은 할당된 SPN이 있는 계정의 경우에만 나타납니다.

계정이 민감하여 위임할 수 없음

Guest 또는 임시 계정과 같은 계정을 다른 계정으로 위임하기 위해 할당할 수 없을 경우 이 옵션을 사용할 수 있습니다.

이 계정에 DES 암호화 유형 사용

DES(데이터 암호화 표준)에 대한 지원을 제공합니다. DES는 MPPE(Microsoft 지점 간 암호화) Standard(40비트), MPPE Standard(56비트), MPPE Strong(128비트), IPsec(인터넷 프로토콜 보안) DES(40비트), IPsec DES(56비트) 및 IPsec 3DES(Triple DES)를 비롯한 여러 암호화 수준을 지원합니다.

Kerberos로 미리 인증될 필요 없음

Kerberos 프로토콜의 대체 구현을 위한 지원을 제공합니다. 그러나 Kerberos 사전 인증은 추가 보안을 제공하고 클라이언트와 서버 간의 시간 동기화를 필요로 하므로 이 옵션을 사용하도록 설정할 때는 주의해야 합니다.

InetOrgPerson 계정

AD DS(Active Directory 도메인 서비스)는 RFC(Requests for Comments) 2798에 정의된 것처럼 InetOrgPerson 개체 클래스 및 해당 관련 특성을 지원합니다. InetOrgPerson 개체 클래스는 조직의 구성원을 나타내기 위해 여러 비 Microsoft LDAP(Lightweight Directory Access Protocol) 및 X.500 디렉터리 서비스에서 사용됩니다.

InetOrgPerson에 대한 지원은 다른 LDAP 디렉터리에서 AD DS로의 보다 효율적인 마이그레이션을 가능하게 합니다. InetOrgPerson 개체는 user 클래스에서 파생되며, user 클래스와 마찬가지로 보안 주체로 작동할 수 있습니다. inetOrgPerson 사용자 계정 만들기에 대한 자세한 내용은 새 사용자 계정 만들기를 참조하십시오.

도메인 기능 수준을 Windows Server 2008 또는 Windows Server 2008 R2로 설정하면 unicodePwd 특성을 통해 할 수 있는 것처럼 효과적인 암호가 되도록 InetOrgPerson과 사용자 개체에서 userPassword 특성을 설정할 수 있습니다.

추가 참조


목차