이 섹션의 잠금을 완전히 해제하려면
로그인해야 합니다. 관리를 위임하면 권한 있는 그룹(예:도메인 관리자,계정 운영자)에 사용자를 추가하지 않고도 사용자 또는 그룹에 필요한 권한만 부여할 수 있습니다. 위임을 수행하는 가장 간단한 방법은 사용자 및 컴퓨터 스냅인에서 제어 위임 마법사를 사용하는 것입니다.
제어 위임 마법사를 사용하면 권한을 쉽게 위임할 수 있지만 위임된 권한을 제거하기 위한 해당 마법사는 없습니다. 마이크로소프트의 누군가는 이 결점을 주의하고 디스 레보크라는 명령줄 프로그램을 창조했음에 틀림없다.제어 위임 마법사에서 추가한 사용 권한 항목을 제거할 수 있습니다.
그러나.exe 프로그램은 두 가지 중요한 기술적 한계,문서화되어 있는 Microsoft”문서를 사용할 때 Dsrevoke 명령행 도구를 보고서에 대한 사용 권한 모든 조직 구성 단위에 윈도우 서버 2003 기반 도메인 도구를 반환하지 않을 수 있습니다 모든 액세스 제어 항목이 있습니다.”이러한 제한 사항은 다음과 같습니다:
- 데스레보크한 번의 검색으로 최대 1,000 개까지 찾을 수 있습니다. 이 제한 사항에 대한 제안된 해결 방법은 결과 수를 줄이기 위해 더 깊이 중첩된 조직 구성 단위에서 프로그램 검색을 시작하는 것입니다.
- 이름에 슬래시(/)문자가 포함 된 경우 실패합니다. 이 제한 사항에 대한 해결 방법은 잘못된 운영 체제의 이름을 바꾸는 것 외에는 없습니다.
조직상의 이유로 슬래시 문자를 제거하도록 이름을 변경하는 것은 일반적으로 옵션이 아닙니다. 또한 슬래시는 유효한 문자입니다.예를 들면 다음과 같습니다. 또한,내 환경에서 1,000 오우 제한 주위에 작업하는 것은 시간이 많이 소요되었다.
최신 버전의 윈도우에서 시작.제어 위임 마법사에서 추가한 사용 권한을 제거하는 방법을 제공합니다. 이 경우 슬래시를 사용할 수 없습니다.사용 권한을 검색 할 수 없습니다.예,그렇습니다.
그 이유는 무엇입니까?사용 권한 목록을 생성할 수 있지만 출력은 매우 길고 기술적입니다.
우리는 우리가 제어 마법사의 위임을 사용할 때 발생하는 몇 가지 배경 정보뿐만 아니라 몇 가지 기본적인 윈도우 보안 개념을 커버해야합니다.
왜 위임?
재무,인사,영업,경영 등 여러 부서가있는 대기업의 수장이라고 상상해보십시오.
암호를 잊어버린 모든 사용자가 통신 헬프데스크에 전화를 해야 하는 경우 호출에 정신이 있을 것입니다.
대신 각 부서의 책임자에게 권한을 위임하여 자신의 팀 암호를 재설정할 수 있습니다.
위임에 대한 또 다른 고전적인 사용 사례는 직원이 공유 사서함이나 상사를 대신하여 이메일을 보내는 이메일을 서로 보낼 수 있는 기능입니다.
모든 사람에게 도메인 관리자 제공?
각 부서장 도메인 관리자 권한을 부여한 다음 필요할 때 암호를 재설정 할 수 있다고 생각했을 수 있습니다.
이것은 기술적으로 사실이지만 사용자 데이터에 액세스하는 것을 포함하여 할 수있는 모든 작업을 수행 할 수 있습니다.
따라서 관리 작업을 낮추기 위해 도메인 관리자 역할이 아닌 사용자에게 부여되도록 주의해야 합니다.
고급 보안 설정 대화 상자에서 제공되는 정보를 이해하려면 다음 보안 개념을 알아야 합니다: 액세스 제어 목록,액세스 제어 항목(에이스),수탁자 및 상속. 또한 이러한 개념을 이해하여 제거를 사용해야 합니다.
개체에 대한 액세스가 허용되거나 거부된 계정을 식별합니다. 관리자는 개체 액세스 시도(예:감사)를 기록하는 방법을 설명합니다.
에이스:에이스로 구성됩니다. 각 에이스는 수탁자를 식별하고 개체에 대한 수탁자의 액세스(허용,거부 또는 감사)를 지정합니다. 컨트롤 위임 마법사는 에이스를 광고 컨테이너에 추가합니다. 이전 그림에서는 모든 사용자에 대한 데이터 보호 정책을 보여 줍니다. 이 그림에서 권한 항목이라는 용어는 에이스와 동의어입니다.
수탁자:수탁자는 에이스가 적용되는 엔티티(사용자,보안 그룹 또는 로그온 세션)입니다. 각 에이스는 단일 수탁자에게 적용됩니다. 그림 5 에서 주체라는 용어는 수탁자와 동의어입니다. 그림 5 는 암호 재설정 그룹에 할당 된 두 개의 에이스가 있음을 보여줍니다. 즉,암호 재설정 그룹은이 두 에이스의 수탁자(교장)입니다.
상속: 에이스는 개체에 직접 적용 할 수 있습니다,또는 자원의 부모 개체에서 상속 할 수 있습니다. 위의 그림에서는 관리자로 암호 재설정 그룹을 포함하는 모든 사용자에 대한 두 개의 에이스가 부모 컨테이너에서 상속되지 않습니다(즉,상속된 항목에서 열을 읽지 않음).
마법사를 사용하여 위임된 사용 권한 추가
제어 위임 마법사를 사용하면 사용 권한을 쉽게 위임할 수 있습니다. 예를 들어 암호 재설정 그룹의 구성원이 광고 도메인에 있는 모든 사용자의 암호를 재설정할 수 있도록 하려는 경우를 가정해 보겠습니다. 이 작업을 수행하려면 다음 단계를 수행해야 합니다.
다음 단추를 클릭하여 마법사의 시작 페이지를 지나갑니다.
마법사의 사용자 또는 그룹 페이지에서 추가 단추를 클릭합니다.
사용자,컴퓨터 또는 그룹 선택 대화 상자에서 그룹 이름(암호 재설정)을 입력하고 이름 확인 단추를 클릭하여 그룹 이름이 올바른지 확인한 다음 다음 그림과 같이 확인을 클릭합니다:
사용자 또는 그룹 페이지에 그룹 이름이 나열되어 있는지 확인한 후 다음 그림과 같이 다음을 클릭합니다:
위임할 작업 페이지에서 다음 그림과 같이 사용자 암호 다시 설정 및 다음 로그온 시 암호 변경 적용을 선택하고 다음을 클릭합니다:
마침 단추를 클릭하면 제어 위임 마법사가 요청된 사용 권한을 모든 사용자에게 추가합니다. 모든 사용자를 마우스 오른쪽 단추로 클릭하고 속성을 선택한 다음 보안 탭을 선택하여 위임의 효과를 볼 수 있습니다. 보안 탭이 표시되지 않으면 활성 디렉터리 사용자 및 컴퓨터 콘솔의 보기 메뉴에서 고급 기능 옵션을 사용하도록 설정합니다.)
상세보기를 보려면 고급 버튼을 클릭 할 수 있습니다. 다음 그림에서는 나타나는 고급 보안 설정 대화 상자를 보여 줍니다.
이제 위임을 발견했으므로 이전 직원이나 악의적인 관리자로부터 알지 못하는 위임이 있는지 궁금할 수 있습니다.
각 위임 가능한 개체 유형을 검색하고 두 가지 공통 권한 위임인 암호 재설정 및 다른 이름으로 보내기(교환에서)를 나열하는 짧은 파워 쉘 스크립트를 구성했습니다.
다음은 도메인에서 실행된 샘플입니다:
그리고 여기 스크립트 코드:
###### Search common delegation targets$filter = "(|(objectClass=domain)(objectClass=organizationalUnit)(objectClass=group)(sAMAccountType=805306368)(objectCategory=Computer))" ###### Search just OUs and Groups#$filter = "(|(objectClass=organizationalUnit)(objectClass=group))"###### More filters can be found here: http://www.ldapexplorer.com/en/manual/109050000-famous-filters.htm###### Connect to DOMAINCONTROLLER using LDAP path, with USERNAME and PASSWORD#$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP"), "USERNAME", "PASSWORD") ###### Connect to DOMAINCONTROLLER using LDAP path$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP") $dSearch = New-Object System.DirectoryServices.DirectorySearcher($bSearch)$dSearch.SearchRoot = $bSearch$dSearch.PageSize = 1000$dSearch.Filter = $filter #comment out to look at all object types$dSearch.SearchScope = "Subtree"####### List of extended permissions available here: https://technet.microsoft.com/en-us/library/ff405676.aspx$extPerms = '00299570-246d-11d0-a768-00aa006e0529', 'ab721a54-1e2f-11d0-9819-00aa0040529b', '0'$results = @()foreach ($objResult in $dSearch.FindAll()){ $obj = $objResult.GetDirectoryEntry() Write-Host "Searching... " $obj.distinguishedName $permissions = $obj.PsBase.ObjectSecurity.GetAccessRules($true,$false,) $results += $permissions | Where-Object { $_.AccessControlType -eq 'Allow' -and ($_.ObjectType -in $extPerms) -and $_.IdentityReference -notin ('NT AUTHORITY\SELF', 'NT AUTHORITY\SYSTEM', 'S-1-5-32-548') } | Select-Object ` @{n='Object'; e={$obj.distinguishedName}}, @{n='Account'; e={$_.IdentityReference}}, @{n='Permission'; e={$_.ActiveDirectoryRights}}}$results | Out-GridView
자신의 도메인에서 이 스크립트를 사용하려면:
- 활성 디렉터리 사용자 및 컴퓨터를 열고 조사 중인 도메인(또는 조직 단위)으로 이동합니다.
- 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
- 속성 편집기 탭에서 구별된 이름 속성을 찾습니다.
- 를 선택하고 보기를 누른 다음 경로를 복사합니다. 당신은 나중에 이것을 필요로 할 것이다.이 문제를 해결하려면 다음을 수행하십시오…도메인 컨트롤러로 대체할 수 있습니다.
- 6 행을 편집하여 이전에 복사한 경로로 바꿉니다.
- 스크립트를 저장하고 실행을 누릅니다.진행률이 콘솔에 보고되고 완료되면 사용자에게 위임된 권한이 있는 개체를 자세히 설명하는 팝업이 표시됩니다.