"Active Directory(AD)"에서 "Domain Join 권한만 가진 계정"을 만드는 것은 보안과 관리의 효율성을 높이는 데 유용합니다. 이 계정은 주로 새로운 컴퓨터를 도메인에 추가하는 작업만 할 수 있도록 제한되어 있으며, 그 외의 AD 작업이나 다른 리소스에 대한 접근 권한은 없습니다.
*이렇게 하면 필요한 작업만 수행할 수 있어, 불필요한 접근을 줄이고 관리가 더 쉬워지는데 꼭.... 이걸 왜 만드냐고... 그냥
Adminstrator 를 쓰면 되냐고하는데.... 보안팀한테 혼나야지 정신 차리겠니.... AD 관련된 서비스를 관리하다보면....하...그냥 내가 만들께....ㅡㅡ
장점이다!
1. 보안 강화
모든 사용자에게 AD 관리 권한을 부여하면 보안 위험이 커질 수 있습니다. 제한된 권한만 가진 계정을 통해 도메인 조인 작업만 수행하게 함으로써, 불필요한 권한 상승을 방지하고 보안 사고를 줄일 수 있습니다.
2. 역할 분리
조직 내에서 IT 업무를 역할별로 분리함으로써 관리의 효율성을 높일 수 있습니다. 예를 들어, 헬프데스크 직원이나 시스템 관리자가 컴퓨터를 도메인에 추가하는 작업만 담당하도록 할 때, 이 계정을 사용하면 보다 명확한 역할 분리가 가능합니다.
3. 감사 및 추적
AD에서 수행되는 모든 작업은 감사와 추적이 가능합니다. 도메인 조인 작업에만 사용되는 계정을 별도로 생성하면, 해당 작업에 대한 로그와 활동을 명확하게 추적할 수 있습니다.
4. 관리 간소화
도메인 조인 작업을 수행할 수 있는 계정을 별도로 설정하면, IT 관리자는 보다 쉽게 해당 작업만을 제어할 수 있으며, 이는 조직 내에서 관리가 필요한 계정의 수를 줄이고 관리 복잡성을 낮추는 데 도움이 됩니다.
[참고 링크]
[Active Directory] OU, Group, User 객체 생성하기(GUI) #6
[Active Directory] OU, Group, User 객체 생성하기(GUI) #6
Active Directory 에서 OU(Organizational Unit), Group, User 생성하는 방법입니다. OU(Organizational Unit, 조직 단위)는 Active Directory(AD)에서 사용자를 포함한 여러 개체들을 조직화하고 관리하기 위한 논
coxfactor-tech.tistory.com
- AD Join 권한을 부여할 계정 생성하기
* 해당 계정을 AD 기본 OU(Organizational Unit)인 Users에 만들 수도 있지만, 별도의 관리 IT OU를 생성해서 만드는 것이 더 권장됩니다.
* 이미지에서 "사용자가 암호를 변경할 수 없음" 옵션을 선택하면, 해당 사용자 계정은 스스로 암호를 변경할 수 없습니다. 즉, 이 계정으로 로그인한 사용자는 암호 변경이 제한되어, 관리자가 설정한 암호를 그대로 사용해야 합니다.
- 제어 위임 마법사로 "도메인에 컴퓨터 가입시키기" 권한 부여
감사합니다.
'Server > Active Directory' 카테고리의 다른 글
| [Active Directory] 로그온 시 사용자 메세지 GPO(Computer) #1 (0) | 2024.09.06 |
|---|---|
| [Active Directory] Windows 11 Client AD Server Join 하기 #8 (0) | 2024.08.27 |
| [Active Directory] OU, Group, User 객체 생성하기(GUI) #6 (36) | 2024.08.09 |
| [Active Directory] 기존 Domain에 "DC(Domain Controller)"를 추가하기 #5 (32) | 2024.08.06 |
| [Active Directory] Windows Server 2022 "AD 도메인 컨트롤러 승격" #4 (0) | 2024.07.29 |