Active Directory 제어 위임 - 특정 계정에 도메인 가입 권한만 부여하는 방법

안녕하세요!

 

 

이번 포스팅에서는 "Active Directory 제어 위임 - 특정 계정에 도메인 가입 권한만 부여하는 방법" 에 대해 알아보겠습니다.

 

 

 

 

클라이언트 컴퓨터를 도메인에 가입 시킬 때 어떤 계정을 사용하시나요? 그리고 해당 계정은 어떻게 관리를 하고 계신가요?

 

제 경험을 비춰볼때 일반적으로는 조직의 PC 유지보수 팀에서 domain admin 권한을 보유한 계정을 사용하여 클라이언트 컴퓨터를 도메인에 가입을 하는 것 같습니다.

 

하지만 domain admin 권한은 말 그대로 관리자 권한을 보유한 admin 계정 입니다. 해당 계정 정보가 유출되면 조직의 보안에 큰 위협이 될 수 있습니다.

 

이에 도메인 가입은, 도메인 가입 권한만을 보유한 계정을 사용해서 운영하기를 권장 드립니다.

 

 

자~ 그럼, 특정 계정에 도메인 가입 권한만을 부여해보도록 하겠습니다.

 

먼저 'Active Directory 사용자 및 컴퓨터' 콘솔을 실행하여 도메인 가입 권한만 부여할 계정을 생성합니다.

cf) 계정 생성 과정은 생략 합니다.

 

참고로 해당 계정의 소속 그룹을 확인해보면, 'Domain Users' 그룹에만 속해있는 단순 사용자 계정입니다.

 

'도메인' 에서 우클릭 후 '제어 위임' 을 클릭 합니다.

 

제어 위임 마법사 창에서, '다음' 을 클릭 합니다.

 

사용자 또는 그룹 화면에서, '추가' 를 클릭 합니다.

 

사용자, 컴퓨터, 또는 그룹 선택 창에서, '도메인 가입 권한을 부여할 계정' 입력 후 '확인' 을 클릭 합니다.

 

사용자가 정상적으로 추가됨을 확인 후 '다음' 을 클릭 합니다.

 

 

 

 

위임할 작업 화면에서, '도메인에 컴퓨터 가입시키기' 선택 후 '다음' 을 클릭 합니다.

 

제어 위임 마법사 완료 화면에서, '마침' 을 클릭 합니다.

 

cf) 해당 계정의 소속 그룹을 다시 한번 확인해볼까요? 여전히 'Domain Users' 그룹에만 속해있음을 확인할 수 있습니다.

 

이제부터 컴퓨터를 도메인에 가입 시킬 때 해당 계정 정보를 입력하면

 

정상적으로 도메인 가입이 가능합니다.

 

 

방법: 조직 구성 단위 만들기 및 제어 위임

방법: 조직 구성 단위 만들기 및 제어 위임

 

 

 

 

이상으로 "Active Directory 제어 위임 - 특정 계정에 도메인 가입 권한만 부여하는 방법" 에 대해 알아보았습니다.

 

 

감사합니다.