감사 등과 같은 이유로 AD Server 읽기 전용 사용자를 필요로 합니다.
이번 포스팅은 AD Server 읽기 전용 사용자 생성하기를 다룹니다.
들어가기 전에
본 포스팅에서는 RSAT(원격 서버 관리 도구)방식과 원격 접속 방식을 다룹니다.
RSAT(원격 서버 관리 도구)를 이용한 방식과 원격 접속 방식의 차이점을 알아보겠습니다.
| RSAT | 원격 접속 |
| 클라이언트 PC에서 도구를 이용하여 AD서버에 접근 | 클라이언트 PC에서 AD서버에 원격 접속 |
| 제한된 보기 | 모든 보기 |
| 제어 위임 방식 | GPO 이용 방식 |
RSAT(원격 서버 관리 도구)를 이용한 AD서버 읽기 전용 사용자 생성하기
Step.01 - 클라이언트 PC에 RSAT 관리 도구 기능 추가
클라이언트 PC의 설정 > 앱을 클릭하여 앱 및 기능으로 들어옵니다.
이후 [선택적 기능 관리]를 클릭합니다.
선택적 기능 관리 화면에서 [기능 추가] 기능을 이용하여 "RSAT: Active Directory Domain Services 및 LDS(Lightweight Directory Services) 도구"를 설치합니다.
시작 > Windows 관리 도구를 확인하여 아래와 같이 기능이 추가된 것을 확인할 수 있습니다.
Step.02 - AD서버에서 제어 위임 설정
AD서버에서 Active Directory 사용자 및 컴퓨터로 진입합니다.
이후 도메인을 우클릭한 후 [제어 위임]을 클릭합니다.
제어 위임 마법사가 시작됩니다. [다음]을 클릭합니다.
[추가] 버튼을 클릭하여 사용자 또는 그룹을 설정합니다.
쓰니는 사용자를 지정하였습니다. 이후 [다음]을 클릭합니다.
지정한 사용자에게 위임할 권한을 선택합니다. 이후 [다음]을 클릭합니다.
설정한 내용을 확인한 후 [마침]을 클릭하여 마법사를 종료합니다.
Step.03 - 클라이언트 PC에서 AD 관리 도구를 실행하여 "읽기" 권한 동작 확인 (검증)
클라이언트 PC에서 시작 > Windows 관리 도구 > Active Directory 사용자 및 컴퓨터를 실행합니다.
**제어를 위임한 readonlyuser로 Windows를 로그온 한 후 진행합니다.
사용자 개체 삭제를 시도합니다.
권한이 부족하여 개체를 사용할 수 없음을 알리는 메세지가 송출됩니다.
원격 접속을 이용한 AD서버 읽기 전용 사용자 생성하기
Step.01 - AD서버에서 사용자가 AD서버에 로그온을 허용하기 위해서 "Remote Desktop Users" 권한 부여
AD서버에서 Active Directory 사용자 및 컴퓨터를 실행합니다.
이후 도메인을 확장한 후 Builtin 디렉토리 안에 있는 Remote Desktop Users를 더블클릭하여 진입합니다.
구성원 탭에서 [추가] 버튼을 클릭합니다.
선택할 개체 이름을 입력한 후 [이름 확인] 버튼을 클릭한 후 [확인]을 클릭합니다.
해당 사용자가 구성원으로 추가된 것을 확인한 후 [확인]을 클릭합니다.
Step.02 - AD서버에서 Default Domain Controllers Policy 편집
Default Domain Controllers Policy는 AD GPO 입니다. GPO 편집을 위해
서버 관리자 > 도구 > 그룹 정책 관리로 진입합니다.
그룹 정책 개체를 확장하여 Default Domain Controllers Policy를 우클릭한 후 [편집]을 클릭합니다.
컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당으로 진입한 후
[로컬 로그온 허용]을 더블클릭하여 진입합니다.
로컬 로그온 허용 속성창에서 [사용자 또는 그룹 추가]를 클릭합니다.
[찾아보기]를 클릭합니다.
사용자 이름을 입력한 후 [이름 확인]버튼을 클릭한 후 [확인]을 클릭합니다.
사용자 및 그룹 이름에 해당 사용자의 이름이 추가되었으면 [확인]을 클릭합니다.
해당 사용자가 추가된 것을 확인한 후 [확인]을 클릭합니다.
컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당으로 진입한 후
[원격 데스크톱 서비스를 통한 로그온 허용]을 더블클릭하여 진입합니다.
원격 데스크톱 서비스를 통한 로그온 허용 속성 창에서 [사용자 또는 그룹 추가] 버튼을 클릭합니다.
[찾아보기]를 클릭합니다.
사용자 이름을 입력한 후 [이름 확인]버튼을 클릭한 후 [확인]을 클릭합니다.
사용자 및 그룹 이름에 해당 사용자의 이름이 추가되었으면 [확인]을 클릭합니다.
해당 사용자가 추가된 것을 확인한 후 [확인]을 클릭합니다.
Default Domain Controllers Policy 개체의 설정 탭에서 위에서 설정한 내용이 반영이 되었는지 확인합니다.
Step.03 - 클라이언트 PC에서 원격 접속을 이용하여 AD서버에 접속
readonlyuser로 클라이언트 PC를 접속합니다.
윈도우키+R키를 눌러 실행창을 띄운 후 mstsc 명령어를 입력한 후 [확인]버튼을 클릭합니다.
AD서버의 IP를 입력한 후 [연결]을 클릭합니다.
Windows에 로그온 한 도메인 사용자(readonlyuser)의 계정 및 비밀번호를 입력한 후 [확인]을 클릭합니다.
인증서 창이 뜨면 [예]를 클릭합니다.
AD서버로 readonlyuser로 원격 데스크톱 연결이 성공하였습니다.
서버 관리자를 실행합니다.
사용자 계정 컨트롤 창(UAC)이 뜨면서 사용자의 계정 정보를 다시 한 번 입력할 것을 요구합니다.
readonlyuser의 계정과 비밀번호를 입력한 후 [예]를 클릭합니다.
[**검증] 서버 관리자 > 도구 > Active Directory 사용자 및 컴퓨터로 진입합니다.
[**검증] pd0a7076이라는 사용자 삭제를 시도합니다.
[**검증] readonlyuser를 권한이 충분하지 못하여 삭제가 불가능 한 것을 확인할 수 있습니다.
[**검증] pd0a7076계정의 속성을 확인합니다.
[**검증] 속성 확인이 가능한 것을 확인할 수 있습니다.
[**검증] 서버 관리자 > 도구 > 그룹 정책 관리로 진입합니다.
[**검증] 그룹 정책 관리 콘솔에 진입이 가능하며 구성해 놓은 정책 리스트 및 현황을 확인할 수 있습니다.
이번에는 RAST와 GPO를 이용하여 AD서버 읽기 전용 사용자를 생성하는 방법을 확인하였습니다.
'Active Directory' 카테고리의 다른 글
| [MS AD] AD에서 비활성화된 컴퓨터 개체 (Disabled Computer Object) 찾기 (+OU이동, 삭제) (0) | 2023.06.20 |
|---|---|
| [MS AD] UPN 접미사 추가하기 (0) | 2023.05.23 |
| [MS AD] AD에서 특정 기간 이상 접속하지 않은 컴퓨터 개체 찾기(+비활성화, OU이동, 삭제) (0) | 2023.05.18 |
| [MS AD] 로그온 스크립트 GPO 배포하기 (0) | 2023.05.08 |
| [MS AD] Domain Controller간의 동기화 시간을 실시간으로 변경하기 (0) | 2023.05.02 |
