내보내기(0) 인쇄
모두 확장
이 항목은 아직 평가되지 않았습니다.- 이 항목 평가

서비스 계정의 새로운 기능

업데이트 날짜: 2011년 5월

적용 대상: Windows 7, Windows Server 2008 R2

Exchange, IIS(인터넷 정보 서비스) 등과 같은 중요 네트워크 응용 프로그램에 대한 보안 과제 중 하나는 응용 프로그램에서 사용할 적절한 유형의 계정을 선택하는 것입니다.

로컬 컴퓨터에서 관리자는 로컬 서비스, 네트워크 서비스 또는 로컬 시스템 계정으로 응용 프로그램을 실행하도록 구성할 수 있습니다. 이러한 서비스 계정은 쉽게 구성하고 사용할 수 있지만 일반적으로 여러 응용 프로그램 및 서비스에서 공유되므로 도메인 수준에서 관리할 수 없습니다.

도메인 계정을 사용하도록 응용 프로그램을 구성하는 경우 해당 응용 프로그램에 대한 권한을 격리할 수 있습니다. 이러한 경우 암호를 수동으로 관리하거나 암호 관리를 위한 사용자 지정 솔루션을 만들어야 합니다. 많은 서버 응용 프로그램에서 보안 향상을 위해 이 전략을 사용하고 있지만 추가 관리 부담이 발생하고 복잡도가 증가합니다.

이러한 배포에서 서비스 관리자는 Kerberos 인증을 위해 필요한 SPN(서비스 사용자 이름) 및 서비스 암호 관리와 같은 유지 관리 작업을 수행하는 데 매우 많은 시간을 소비하게 됩니다. 이러한 유지 관리 작업으로 인해 서비스가 중단될 수도 있습니다.

Windows Server® 2008 R2와 Windows® 7에서는 새로 추가된 두 가지 서비스 계정인 관리 서비스 계정과 가상 계정을 사용할 수 있습니다. 관리 서비스 계정을 사용하면 IIS와 같은 중요 응용 프로그램에서 고유 도메인 계정을 격리할 수 있을 뿐만 아니라, 관리자가 이러한 계정에 대한 SPN(서비스 사용자 이름)과 자격 증명을 수동으로 관리할 필요가 없습니다. Windows Server 2008 R2 및 Windows 7의 가상 계정은 컴퓨터의 자격 증명을 사용하여 네트워크 리소스에 액세스할 수 있는 "관리 로컬 계정"입니다.

관리자는 암호 및 SPN 관리를 간소화하거나 제거하면서 관리 서비스 계정을 사용하여 보안을 강화하기를 원합니다.

가상 계정은 암호 관리를 제거하고 도메인 환경에서 컴퓨터의 계정 자격 증명을 사용하여 네트워크에 액세스하도록 허용하여 서비스 관리를 간소화합니다.

중요 서비스에 대해 개별 계정을 사용하여 제공되는 향상된 보안 외에도 관리 서비스 계정과 관련하여 관리상의 네 가지 중요한 이점이 있습니다.

  • 관리자는 관리 서비스 계정을 사용하여 로컬 컴퓨터에서 서비스를 유지 관리하는 데 사용할 수 있는 도메인 계정 클래스를 만들 수 있습니다.

  • 관리자가 암호를 수동으로 다시 설정해야 하는 일반 도메인 계정과 달리 이러한 계정에 대한 네트워크 암호는 자동으로 다시 설정됩니다.

  • 일반 로컬 컴퓨터 및 사용자 계정과 달리 관리 서비스 계정을 사용하기 위해 관리자가 복잡한 SPN 관리 작업을 수행할 필요가 없습니다.

  • 관리 서비스 계정에 대한 관리 작업을 관리자가 아닌 사용자에게 위임할 수 있습니다.

관리 서비스 계정은 중요 서비스와 응용 프로그램에 필요한 계정 관리 양을 줄일 수 있습니다.

관리 서비스 계정 및 가상 계정을 사용하려면 응용 프로그램 또는 서비스가 설치된 클라이언트 컴퓨터에서 Windows Server 2008 R2 또는 Windows 7을 실행해야 합니다. Windows Server 2008 R2 및 Windows 7에서는 단일 컴퓨터의 서비스에 대해 하나의 관리 서비스 계정을 사용할 수 있습니다. 관리 서비스 계정을 여러 컴퓨터에서 공유할 수 없으며 서비스가 여러 클러스터 노드에 복제되는 서버 클러스터에서 관리 서비스 계정을 사용할 수 없습니다.

Windows Server 2008 R2 도메인은 자동 암호 관리와 SPN 관리를 기본적으로 지원합니다. 도메인이 Windows Server 2003 모드 또는 Windows Server 2008 모드에서 실행 중이면 관리 서비스 계정을 지원하기 위해 추가 구성 단계가 필요합니다. 이는 다음을 의미합니다.

  • 도메인 컨트롤러가 Windows Server 2008 R2를 실행 중이고 스키마가 관리 서비스 계정을 지원하도록 업그레이드된 경우 자동 암호와 SPN 관리를 모두 사용할 수 있습니다.

  • 도메인 컨트롤러가 Windows Server 2008 또는 Windows Server 2003을 실행 중인 컴퓨터에 있지만 이 기능을 지원하기 위해 Active Directory 스키마가 업그레이드된 경우 관리 서비스 계정을 사용할 수 있고 서비스 계정 암호가 자동으로 관리됩니다. 하지만 이러한 서버 운영 체제를 사용하는 도메인 관리자는 여전히 관리 서비스 계정에 대한 SPN 데이터를 수동으로 구성해야 합니다.

Windows Server 2008, Windows Server 2003 또는 혼합 모든 도메인 환경에서 다음 스키마 변경을 적용해야 합니다.

  • 포리스트 수준에서 adprep /forestprep를 실행합니다.

  • 관리 서비스 계정을 만들어 사용할 모든 도메인에서 adprep /domainprep를 실행합니다.

  • Windows PowerShell cmdlet을 사용하여 관리 서비스 계정을 관리하기 위해 도메인에서 Windows Server 2008 R2를 실행 중인 도메인 컨트롤러를 배포합니다.

    자세한 내용은 Adprep를 참조하십시오.

SPN 관리에 대한 자세한 내용은 서비스 사용자 이름을 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft. All rights reserved.