[Win2016] Windows AD Group의 관리자 & Domain Controller 로그인 허용

- [Win2016] Windows AD Group 정리에 이어서 AD Group 관리자 지정 및 도메인 컨트롤러로의 로그인 접속 허용 관련 설정을 살펴본다.

 

 

 

[Windows AD Group의 관리자 & Domain Controller 로그인 허용]

---

1. Group 관리자 등록

-  [Active Directory 사용자 및 컴퓨터]에서, 원하는 Group를 지정하고, [속성]으로 이동한다.

- [관리자] 탭에서 사용자 계정을 지정하고, [관리자가 구성원 목록을 업데이트할 수 있음] 의 체크 박스에 체크를 하고 적용한다.

 

- mark11이라는 사용자 계정을 G-Marketing-1 Group의 관리자라고 등록했지만, mark11이 Group의 정책을 변경하려면 도메인 컨트롤러에 접근해야한다. 하지만, 도메인 컨트롤러는 다음과 같이  일반사용자 mark11가 들어올 수 없다. 따라서, AD 사용자 및 컴퓨터를 사용할 수 있도록 기능을 추가해야한다.

 

 

 

1.1) AD DS 및 AD LDS 도구 설치

- SVR1에서 Domain Controller의 관리자 계정으로 접속한다. [역할 및 기능 추가 마법사]를 실행하여 기능 설치를 진행한다.

 

- [기능 선택] 에서 [AD DS 및 AD LDS 도구]를 설치한다. 모든 체크 박스에 체크한다.

 

1.2) Group 관리자 확인

- 설치가 완료되면, mark33으로 로그인을 한다. [서버 관리자] 로 이동하면, [Active Directory 사용자 및 컴퓨터]의 기능이 추가되었다.

 

- Group 별로 속성에 진입하여, 설정을 변경할 수 있는지 확인한다. G-Marketing-1의 관리자로 접속한 mark33은 해당 Group만 구성원 및 기타 설정을 변경할 수 있지만, 나머지 Group은 추가하거나 제거할 수 없다.

 

 

2. 도메인 컨트롤러 로그온

- [로컬 로그온 허용 속성] 에 등록된 Group만이 Domain Controller에 접속할 수 있다.

설명
로컬 로그온

컴퓨터에 로그온할 수 있는 사용자를 결정합니다.

중요

이 설정을 수정하면 클라이언트, 서비스 및 응용 프로그램과의 호환성에 영향을 줄 수 있습니다. 이 설정에 대한 호환성 정보는 Microsoft 웹 사이트에서 로컬 로그온 허용(http://go.microsoft.com/fwlink/?LinkId=24268)을 참조하십시오.

기본값:

• 워크스테이션 및 서버: Administrators, Backup Operators, Power Users, Users 및 Guest.
• 도메인 컨트롤러: Account Operators, Administrators, Backup Operators 및 Print Operators

 

- [Active Directory 사용자 및 컴퓨터]으로 이동하여, [Builtin]에 있는 속성 중, [Account Operators] 는 다음과 같이 설명한다. 

도메인 사용자 및 그룹 계정 관리

 

- DC1에서  [Account Operators]의 구성원에 일반 사용자 계정 mark33 을 등록하여 권한을 확인해본다.

 

 

- SRV2에서 mark33으로 접속 후,  dsa.msc를 실행하여, [Active Directory 사용자 및 컴퓨터]를 띄운다. 아래와 같이, 사용자 이름 및 암호를 입력하는데, mark33은 [Account Operators] 에 소속되어 있기 때문에 권한이 있다.

 

- 진입한 [Active Directory 사용자 및 컴퓨터]에서 사용자를 생성할 수 있다.

---