내보내기(0) 인쇄
모두 확장

사용자 및 컴퓨터 계정

업데이트 날짜: 2005년 1월

적용 대상: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

사용자 및 컴퓨터 계정

Active Directory 사용자 계정과 컴퓨터 계정은 컴퓨터나 사람 같은 실제 엔터티를 나타냅니다. 또한 사용자 계정을 일부 응용 프로그램에 대한 전용 서비스 계정으로 사용할 수도 있습니다.

사용자 계정 및 컴퓨터 계정(그룹 계정도 포함)은 보안 사용자라 부릅니다. 보안 사용자는 도메인 리소스에 액세스하는 데 사용될 수 있는 SID(보안 식별자)가 자동으로 할당되는 디렉터리 개체입니다. 사용자 계정 또는 컴퓨터 계정을 사용하여 다음과 같은 작업을 할 수 있습니다.

  • 사용자나 컴퓨터의 ID를 인증합니다.

    사용자는 사용자 계정을 사용하여 도메인에서 인증할 수 있는 ID로 컴퓨터와 도메인에 로그온할 수 있습니다. 인증에 대한 자세한 내용은 Active Directory의 액세스 제어를 참조하십시오. 네트워크에 로그온하는 모든 사용자는 고유한 사용자 계정과 암호가 있어야 합니다. 보안을 최대화하기 위해서는 여러 명의 사용자가 하나의 계정을 공유하는 것을 피해야 합니다.

  • 도메인 리소스에 대한 액세스 권한을 허용하거나 거부합니다.

    사용자가 인증된 후에는 리소스에 대해 해당 사용자에게 할당된 명시적 사용 권한을 기초로 도메인 리소스에 대한 액세스가 허용되거나 거부됩니다. 자세한 내용은 Active Directory의 보안 기능을 참조하십시오.

  • 다른 보안 사용자를 관리합니다.

    Active Directory는 로컬 도메인에 트러스트된 외부 도메인으로부터의 각 보안 사용자를 나타내는 외부 보안 정책 개체를 만듭니다. 외부 보안 정책에 대한 자세한 내용은 외부 트러스트를 만드는 시기를 참조하십시오.

  • 사용자 또는 컴퓨터 계정을 사용하여 수행되는 동작을 감사합니다.

    감사하면 계정 보안을 모니터링하는 데 도움이 될 수 있습니다. 감사에 대한 자세한 내용은 감사 개요를 참조하십시오.

사용자 계정

Active Directory 사용자 및 컴퓨터에 위치한 사용자 컨테이너는 세 가지 기본으로 제공되는 사용자 계정 즉, Administrator, Guest 및 HelpAssistant를 표시합니다. 이러한 기본으로 제공되는 사용자 계정은 도메인을 만들 때 자동으로 만들어집니다.

기본으로 제공되는 계정들은 각기 다른 사용자 권한과 사용 권한을 가집니다. Administrator 계정이 도메인에 대해 가장 많은 사용 권한을 가지고 있으며 Guest 계정은 제한된 사용 권한을 가지고 있습니다. 아래의 표는 Windows Server 2003을 실행하는 도메인 컨트롤러의 각 기본 사용자 계정에 대해 설명한 것입니다.

 

기본 사용자 계정 설명

Administrator 계정

관리자 계정에는 도메인의 모든 권한이 있고 필요한 경우 도메인 사용자에 사용자 권한과 액세스 제어 권한을 할당할 수 있습니다. 이 계정은 관리 자격 증명이 필요한 작업에만 사용해야 합니다. 이 계정은 강력한 암호를 사용하여 설정하는 것이 좋습니다. 자세한 내용은 강력한 암호를 참조하십시오. 관리 자격 증명이 있는 계정에 대한 추가 보안 고려 사항은 Active Directory에 대한 유용한 정보를 참조하십시오.

Administrator 계정은 Active Directory에 있는 Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners 및 Schema Admins 그룹의 기본 구성원이 됩니다. Administrator 계정은 Administrators 그룹에서 삭제하거나 제거할 수 없지만 이름을 바꾸거나 사용하지 않을 수 있습니다. Administrator 계정은 여러 Windows 버전에 있는 것으로 알려져 있으므로 이 계정의 이름을 바꾸거나 이 계정을 사용하지 않으면 악의적인 사용자가 계정에 액세스하기가 더 어려워집니다. 사용자 계정의 이름을 바꾸거나 사용하지 않는 방법에 대한 자세한 내용은 로컬 사용자 계정 이름 바꾸기 또는 사용자 계정 사용 또는 사용 안 함을 참조하십시오.

Active Directory 설치 마법사를 사용하여 새로 도메인을 설정할 때 가장 먼저 만들어지는 계정이 Administrator 계정입니다.

  • 중요 Administrator 계정을 사용할 수 없게 된 경우에도 안전 모드에서 도메인 컨트롤러에 액세스하는 데 사용할 수 있습니다.

Guest 계정

Guest 계정은 도메인에 실제 계정이 없는 사용자의 경우에 사용됩니다. 계정이 있지만 사용할 수 없게 된 사용자도 Guest 계정을 사용할 수 있습니다. Guest 계정은 암호가 필요 없습니다.

다른 사용자 계정과 마찬가지로 Guest 계정의 권한과 사용 권한을 설정할 수 있습니다. 기본적으로 Guest 계정은 기본으로 제공되는 Guests 그룹과 Domain Guests 글로벌 그룹의 구성원으로 사용자가 이 계정을 사용하여 도메인에 로그온할 수 있습니다. Guest 계정은 기본적으로 사용되지 않으며 이 설정을 그대로 유지하는 것이 좋습니다.

HelpAssistant 계정(원격 지원 세션으로 설치됨)

원격 지원 세션을 만드는 데 사용되는 기본 계정. 이 계정은 원격 지원 세션을 요청할 때 자동으로 만들어지며 컴퓨터에 대한 액세스가 제한됩니다. HelpAssistant 계정은 원격 데스크톱 도움말 세션 관리자 서비스에서 관리하며 대기 중인 원격 지원 요청이 없으면 자동으로 삭제됩니다. 원격 지원에 대한 자세한 내용은 원격 지원 관리를 참조하십시오.

사용자 계정 보호

네트워크 Administrator가 기본으로 제공되는 계정의 사용 권한을 수정하거나 사용 해제하지 않으면 악의적인 사용자나 서비스가 이 계정을 사용하여 Administrator 또는 Guest ID로 도메인에 부정하게 로그온할 수 있습니다. 이러한 계정을 보호하기 위한 양호한 보안 수단은 이러한 계정의 이름을 바꾸거나 사용 해제하는 것입니다. SID(보안 식별자)는 그대로 유지되므로 이름을 바꾼 사용자 계정도 설명, 암호, 그룹 구성원 자격, 사용자 프로필, 계정 정보 및 할당된 모든 사용 권한과 사용자 권한 같은 다른 속성은 모두 그대로 유지합니다.

사용자 인증 및 권한 부여에 대한 보안을 유지하려면 네트워크에 참여하는 사용자마다 Active Directory 사용자 및 컴퓨터를 사용하여 개별적인 사용자 계정을 만드십시오. 그러면 Administrator 및 Guest 계정을 포함한 각 사용자 계정을 그룹에 추가하여 계정에 할당된 사용 권한을 제어할 수 있습니다. 해당 네트워크에 적합한 계정 및 그룹을 사용하면 네트워크에 로그온하는 사용자를 식별할 수 있고 사용자는 허용된 리소스에만 액세스할 수 있습니다.

강력한 암호를 요구하고 계정 잠금 정책을 구현하면 공격자로부터 도메인을 방어하는 데 도움이 될 수 있습니다. 강력한 암호는 암호에 대한 지능적 추측과 사전 공격 위험을 감소시킵니다. 자세한 내용은 강력한 암호 및 암호에 대한 암호에 대한 유용한 정보를 참조하십시오.

계정 잠금 정책은 공격자가 반복적인 로그온 시도를 통해 도메인을 손상시킬 가능성을 줄입니다. 이것은 사용자 계정이 사용 해제될 때까지 실패한 로그온 횟수를 계정 잠금 정책이 결정하기 때문입니다. 자세한 내용은 계정 잠금 정책 적용 또는 수정을 참조하십시오.

사용자 계정 보호에 대한 자세한 내용은 Active Directory 보안을 참조하십시오.

계정 옵션

각 Active Directory 사용자 계정에는 많은 계정 옵션이 있습니다. 이러한 옵션은 특정 사용자 계정으로 로그온하는 사용자가 네트워크에서 인증을 받는 방법을 결정합니다. 다음과 같은 옵션을 사용하여 사용자 계정에 대한 암호 설정과 보안 관련 정보를 구성할 수 있습니다.

 

계정 옵션 설명

다음 로그온할 때 반드시 암호 변경

사용자가 다음 번에 네트워크에 로그온할 때 자신의 암호를 강제로 변경하게 합니다. 해당 사용자만이 자신의 암호를 알고 있도록 보장하려면 이 옵션을 사용합니다.

암호 변경할 수 없음

사용자가 자신의 암호를 변경할 수 없게 합니다. guest 계정이나 임시 계정의 경우처럼 사용자 계정에 대한 제어를 유지하려면 이 옵션을 사용합니다.

암호 사용 기간 제한 없음

사용자 암호가 만료되지 않게 합니다. 서비스 계정의 경우에는 이 옵션을 사용할 수 있게 설정하고 강력한 암호를 사용하는 것이 좋습니다. 강력한 암호에 대한 자세한 내용은 강력한 암호를 참조하십시오.

해독 가능한 암호화를 사용하여 암호 저장

Apple 컴퓨터에서 Windows 네트워크로 로그온할 수 있도록 합니다. 사용자가 Apple 컴퓨터에서 로그온하지 않을 때는 이 옵션을 사용하지 않아야 합니다. 자세한 내용은 해독 가능한 암호화를 사용하여 암호 저장을 참조하십시오.

계정 사용 안 함

선택한 계정으로는 로그온하지 못하게 합니다. 관리자들은 대부분 사용 해제된 계정을 일반 사용자 계정의 템플릿으로 사용합니다. 자세한 내용은 사용자 계정 사용 또는 사용 안 함을 참조하십시오.

대화형 로그온에 스마트 카드 사용

네트워크에 대화형으로 로그온하기 위해서는 사용자에 스마트 카드가 있어야 합니다. 사용자는 또한 자신의 컴퓨터에 스마트 카드 판독기를 연결해야 하고 스마트 카드에 대한 올바른 PIN(개인 ID 번호)이 있어야 합니다. 이 옵션을 선택하면 사용자 계정에 대한 암호가 임의의 복잡한 값으로 자동 설정되고 암호 사용 기간 제한 없음 계정 옵션이 설정됩니다. 스마트 카드에 대한 자세한 내용은 컴퓨터에 스마트 카드로 로그온인증 작업을 참조하십시오.

위임을 위해 신뢰할 수 있는 계정

이 계정을 사용하여 실행되는 서비스가 네트워크의 다른 사용자 계정을 대신하여 작업을 수행할 수 있도록 합니다. 위임에 트러스트된 사용자 계정(서비스 계정이라고도 함)을 사용하여 실행되는 서비스가 클라이언트를 가장하여 서비스가 실행 중인 컴퓨터나 다른 컴퓨터의 리소스에 액세스할 수 있습니다. Windows Server 2003 기능 수준으로 설정된 포리스트에서는 이 설정이 위임 탭에 나와 있고 Windows 지원 도구에서 setspn 명령을 사용하여 설정한 경우에 SPN(서비스 사용자 이름)이 할당된 계정에만 사용할 수 있습니다. 이 설정은 보안 관련 기능이므로 주의해서 할당해야 합니다. 자세한 내용은 위임용으로 사용자 트러스트인증 위임을 참조하십시오.

이 옵션은 도메인 기능이 Windows 2000 혼합이나 Windows 2000 기본으로 설정된 Windows Server 2003 실행 도메인 컨트롤러에서만 사용할 수 있습니다. 도메인 기능 수준이 Windows Server 2003으로 설정된 Windows Server 2003 실행 도메인 컨트롤러에서는 위임 설정을 구성하는 데 위임 탭이 사용됩니다. 위임 탭은 SPN이 할당된 계정에만 나타납니다. 도메인 기능에 대한 자세한 내용은 도메인 및 포리스트 기능을 참조하십시오. Windows Server 2003 도메인에서 위임을 구성하는 방법에 대한 자세한 내용은 위임용으로 사용자 트러스트를 참조하십시오.

계정이 민감하여 위임할 수 없음

guest 계정이나 임시 계정에서처럼 사용자 계정에 대한 제어를 허용합니다. 다른 계정에 의한 위임 작업에 이 계정을 할당할 수 없는 경우에 이 옵션을 사용할 수 있습니다.

이 계정에 DES 암호화 형식 사용

DES(데이터 암호화 표준)을 지원합니다. DES는 MPPE Standard(40비트), MPPE Standard(56비트), MPPE Strong(128비트), IPSec DES(40비트), 56비트 IPSec DES, IPSec Triple DES(3DES) 등 다양한 암호화 수준을 지원합니다. DES 암호화에 대한 자세한 내용은 데이터 암호화를 참조하십시오.

Kerberos로 미리 인증될 필요 없음

Kerberos 프로토콜의 대체 구현을 지원합니다. Windows 2000 또는 Windows Server 2003을 실행하는 도메인 컨트롤러가 다른 메커니즘을 사용하여 시간을 동기화할 수 있습니다. 사전 인증이 보안을 강화하기 때문에 이 옵션을 설정한 때는 주의해서 사용하십시오. Kerberos에 대한 자세한 내용은 Kerberos V5 인증을 참조하십시오.

InetOrgPerson 계정

Active Directory는 InetOrgPerson 개체 클래스와 RFC 2798에 정의되어 있는 관련 특성을 지원합니다. InetOrgPerson 개체 클래스는 여러 가지 비 Microsoft LDAP 및 X.500 디렉터리 서비스에서 조직 내의 사람을 나타내는 데 사용됩니다.

InetOrgPerson이 지원되면 다른 LDAP 디렉터리에서 Active Directory로 훨씬 효율적으로 마이그레이션할 수 있습니다. InetOrgPerson 개체는 사용자 클래스에서 파생되어 사용자 클래스와 마찬가지로 보안 사용자로 사용할 수 있습니다. inetOrgPerson 사용자 계정을 만드는 방법에 대한 자세한 내용은 새 사용자 계정 만들기를 참조하십시오.

도메인 기능 수준을 Windows Server 2003으로 설정하면 unicodePwd 특성으로 할 수 있는 것처럼 효과적인 암호가 되도록 InetOrgPerson과 사용자 개체에서 userPassword 특성을 설정할 수 있습니다.

컴퓨터 계정

한 도메인에 가입된 모든 Windows NT, Windows 2000, Windows XP 또는 Windows Server 2003 실행 서버에는 컴퓨터 계정이 있습니다. 사용자 계정과 마찬가지로 컴퓨터 계정도 네트워크 및 도메인 리소스에 대한 컴퓨터의 액세스를 인증하고 감사할 수 있게 해 줍니다. 각 컴퓨터 계정이 고유해야 합니다.

참고 Windows 95와 Windows 98을 실행하는 컴퓨터에는 고급 보안 기능이 없고 컴퓨터 계정이 할당되어 있지 않습니다.

사용자 및 컴퓨터 계정을 추가, 사용 해제, 재설정, 삭제할 때는 Active Directory 사용자 및 컴퓨터를 사용합니다. 컴퓨터를 도메인에 참가시킬 때도 컴퓨터 계정을 만들 수 있습니다. 사용자 및 컴퓨터 계정에 대한 자세한 내용은 Active Directory 명명개체 이름을 참조하십시오.

도메인 기능 수준을 Windows Server 2003으로 설정하면 사용자 또는 컴퓨터 계정의 마지막 로그온 시간을 추적하는 데 새로운 lastLogonTimestamp 특성이 사용됩니다. 이 특성은 도메인 내에서 복제되며 사용자나 컴퓨터의 사용 내역에 관하여 중요한 정보를 제공할 수 있습니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft