[Active Directory] AD 환경에서 개인 AD Join을 막는 방법?
[Why?]
Active Directory 환경에서 Authenticated User 권한을 가지는 (일반 User 그룹 소속) 사람들은 기본적으로 10개의 Client를 도메인 Join 추가할 수 있습니다. 하지만 어느정도 규모의 조직에서는 이런 부분이 보안적인 문제가 될 가능성이 높아 제약하고 있으며, 이를 제약할 수 있는 방법을 공유 하고자 합니다.
변경해야할 속성은 Ms-DS-MachineAccountQuota 항목이며, 해당 속성은 Global Option으로 변경 시, 모든 사용자들에게 적용되는 옵션이라고 생각 하시면 됩니다.
Ms-DS-MachineAccountQuota 변경 방법
- Active Directory 사용자 및 컴퓨터 콘솔 Open
- 특성 편집기 탭으로 이동해서 Ms-DS-MachineAccountQuato 항목 찾기
- Active Directory Join 횟수 수정
기본적으로 10번의 AD Join이 가능하지만, 이 숫자를 0으로 변경하면, 사용자는 더이상 AD Join 작업을 수행할 수 없는 상태가 됩니다.
- Active Directory Join 시도하면 아래와 같은 에러가 발생.
4번까지가 실제 제약한 상황이며, 이제 특정 그룹이나 사람에게 이 권한을 부여하는 방법을 설명 드리겠습니다. 보통 사내 IT 지원을 하시는 분들에게만 이런 권한을 부여하는게 보통 입니다.
- Active Directory 사용자 및 컴퓨터 콘솔 Open 및 제어위임 선택
-
제어 위임 마법사 실행
-
권한 위임 할 그룹 또는 사용자 선택
-
부여 권한 선택 (기본적으로 제공하는 항목과 관리자가 직접 Custom 가능한 조합 2가지 입니다.)
여기까지 적용 하셨다면, 이제 지정한 그룹 소속 인원 또는 지정한 직원만이 Active Directory Join 작업을 할수 있으며, 다른 임직원 분들이 시도하면 위에 말씀드린것처럼 할수 없다라는 메세지를 보게 됩니다.
그럼 여기서 문제가 하나 나오는데 시간이 흘러 어떤 개체에 권한 위임을 했는지 기억이 나지 않을 경우 (가장 좋은건 권한 위임을 관리하는 별도의 공용 페이지를 만들어서 관리하시는걸 추천 드립니다. 다만 부득이하게 이런 관리가 안된다면 아래 방법으로 권한 위임을 유추 할수 있습니다.).
도메인 최상위에서 마우스 오른쪽 클릭 후 속성값 선택
3번째 탭의 보안 -> 고급 옵션 선택.
권한 부여 되어 있는 항목과 계정 확인 후 정리 진행.
