[Active Directory] 세분화된 암호 및 계정 잠금 정책

세분화된 암호 및 계정 잠금 정책은 도메인 기능 수준 Windows Server 2008 이상에서 제공되는 기능으로, Default Domain Policy에서 지정된 정책이 아닌 ADAC(Active Directory Admin Center)에서 별도의 정책을 구성하여 배포하는 암호/계정 잠금 정책입니다.

Windows Server 2008 이전의 Active Directory 도메인에서는 하나의 암호 정책과 계정 잠금 정책만 도메인의 모든 사용자에 적용할 수 있었습니다. 이러한 정책은 도메인의 Default Domain Policy에서 지정되었습니다. 따라서 각 사용자 집합에 대해 다른 암호 및 계정 잠금 설정을 지정하려는 조직은 암호 필터를 만들거나 여러 도메인을 배포해야 했습니다.

​세분화된 암호 정책을 사용하여 단일 도메인 내 여러 암호 정책을 지정하고 도메인의 각 사용자 집합에 서로 다른 암호 및 계정 잠금 정책 제한을 적용할 수 있습니다. 예를 들어 더 엄격한 설정을 권한 있는 계정에 적용하고 덜 엄격한 설정을 다른 사용자 계정에 적용할 수 있습니다. 경우에 따라 암호가 다른 데이터 원본과 동기화되는 계정에 대해 특별한 암호 정책을 적용할 수도 있습니다.

​Windows Server 2012 이상에서는 AD DS 관리자가 ADAC에서 관리할 수 있는 사용자 인터페이스를 제공하여 보다 세분화된 암호 정책 관리를 더 쉽고 시각적으로 만들 수 있습니다.

​https://learn.microsoft.com/ko-kr/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt

Introduction to Active Directory Administrative Center Enhancements (Level 100)

 

​[참고]

※ 기본적으로 Domain Admins 그룹의 구성원만 세분화된 암호 정책을 설정할 수 있습니다.

※ 세분화된 암호 정책은 글로벌 보안 그룹 및 사용자 개체에만 적용됩니다. (컴퓨터 개체에 적용할 수 없음)

※ ADAC에서 생성한 PSO(암호 설정 개체)는 OU에 직접 적용할 수 없습니다.

​

다음은 세분화된 암호 및 계정 잠금 정책을 구성하는 단계이며 본 포스팅에서는 4번까지만 설명합니다.​

1. 도메인 기본 기능 수준 올리기
2. 테스트 사용자, 그룹 및 조직 구성 단위 만들기
3. 세분화된 암호 정책 만들기
4. 사용자에 대한 결과 정책 집합 보기
5. 세분화된 암호 정책 편집
6. 세분화된 암호 정책 삭제

​

​1. 1번은 이미 테스트 환경의 도메인 기능 수준이 Windows 2008 이상이므로 Skip 합니다.​

2. 테스트 사용자 및 그룹을 생성합니다. (글로벌 보안 그룹 및 사용자 개체에만 적용됨)​

3. 세분화된 암호 정책을 생성합니다.​

3-1. AD 서버에서 PowerShell 및 CMD 실행 후 dsac.exe 실행

3-2. 우측 상단의 [관리] > [탐색 노드 추가] > 원하는 대상 도메인을 선택한 후 확인 클릭​

3-3. ADAC 탐색 창에서 System 컨테이너를 연 후 Password Settings Container를 클릭합니다.

3-4. [작업] > [새로 만들기]를 클릭하여 PSO를 생성합니다

3-5. 직접 적용 대상에 사용자 또는 글로벌 보안 그룹을 추가하여 정책 배포 대상을 지정하고 PSO와 연결시킵니다.

​4. 사용자의 정책 결과 집합을 확인하여 PSO와 연결되었는지 확인합니다.

​4-1. [관리] > [탐색 노드 추가] > 직접 적용 대상이 위치한 OU를 선택하여 추가합니다.

4-2. [작업] > [결과 암호 설정 보기]를 클릭합니다.

4-3. 사용자의 경우 연결된 PSO 화면이 나타납니다.

4-4. 글로벌 보안 그룹은 속성에서 "직접 연결된 암호 설정" 을 통해 확인할 수 있습니다.

​

이후 PSO와 연결되어 정책에 영향 받는 사용자는 Default Domain Policy 암호 정책과 별개로 ADAC의 PSO 정책을 받아가는 것을 확인할 수 있습니다.​

위와 같이 세분화된 암호 및 계정 잠금 정책을 살펴보았습니다.​

이미 Default Domain Policy 암호 정책으로 관리하는 환경에서는 추가 정책 설정으로 인한 혼선을 충분히 고려한 후 적용해야겠네요.

​

Microsoft 365 기술 공유 페이스북 그룹

Microsoft 365 관리자 및 사용자를 대상으로 실용적인 기능, 최신 기능에 대한 지식/정보 등을 자유롭게 공유하며 커뮤니케이션을 나눌 수 있는 Facebook 그룹입니다. 부담없이 지식을 받아가고 공유하는 환경이 되었으면 좋겠습니다 ^^

https://www.facebook.com/groups/practicalmicrosoft365

Facebook에 로그인