다음을 통해 공유

그룹 관리 서비스 계정 관리

이 문서에서는 Windows Server에서 gMSA(그룹 관리 서비스 계정)를 사용하도록 설정하고 사용하는 방법을 알아봅니다.

서비스의 모든 인스턴스가 동일한 보안 주체를 사용하지 않는 한 Kerberos와 같은 상호 인증을 지원하는 인증 프로토콜을 사용할 수 없습니다. 예를 들어 클라이언트 컴퓨터가 부하 분산을 사용하는 서비스에 연결하거나 모든 서버가 클라이언트와 동일한 서비스로 표시되는 다른 메서드에 연결하는 경우입니다. 이는 각 서비스에서 동일한 암호 또는 키를 사용하여 ID를 증명해야 함을 의미합니다. 그룹 관리 서비스 계정은 여러 서버에서 사용할 수 있는 계정 유형입니다. gMSA는 암호를 관리할 필요 없이 여러 서버에서 서비스를 실행하는 데 사용할 수 있는 도메인 계정입니다. gMSA는 다른 관리자에 대한 관리 위임을 비롯하여 자동 암호 관리, 간소화된 서비스 주체 이름(SPN) 관리 기능을 제공합니다.

Note

장애 조치 클러스터는 gMSA를 지원하지 않습니다. 그러나 클러스터 서비스 위에서 실행되는 서비스는 Windows 서비스, 앱 풀, 예약된 작업이거나 기본적으로 gMSA 또는 sMSA를 지원하는 경우 gMSA 또는 sMSA를 사용할 수 있습니다.

서비스는 사용할 주체를 선택할 수 있습니다. 각 주요 유형은 서로 다른 서비스를 지원하며 제한 사항이 다릅니다.

Principals 지원되는 서비스 암호 관리
Windows 시스템의 컴퓨터 계정 도메인 가입 서버 하나로 제한 컴퓨터에서 관리
Windows 시스템이 없는 컴퓨터 계정 모든 도메인 가입 서버 None
가상 계정 서버 하나로 제한 컴퓨터에서 관리
Windows 독립 실행형 관리 서비스 계정 도메인 가입 서버 하나로 제한 컴퓨터에서 관리
사용자 계정 모든 도메인 가입 서버 None
그룹 관리 서비스 계정 Windows Server 도메인에 가입된 모든 서버 도메인 컨트롤러에서 관리하고 호스트에서 검색

Windows 컴퓨터 계정, Windows 독립 실행형 관리 서비스 계정(sMSA) 또는 가상 계정은 여러 시스템에서 공유할 수 없습니다. 가상 계정을 사용하는 경우 ID는 로컬 컴퓨터에만 해당되며 도메인에서 인식되지 않습니다. 서버 팜의 서비스에서 공유할 계정 하나를 구성하려면 Windows 시스템과 별개인 사용자 계정 또는 컴퓨터 계정을 선택해야 합니다. 그러나 이러한 계정에는 단일 제어 지점 암호 관리 기능이 없습니다. 암호 관리가 없으면 각 조직은 AD(Active Directory)에서 서비스에 대한 키를 업데이트하고 이러한 키를 해당 서비스의 모든 인스턴스에 배포해야 합니다.

Windows Server를 사용하면 서비스 및 서비스 관리자가 gMSA를 사용할 때 서비스 인스턴스 간의 암호 동기화를 관리할 필요가 없습니다. AD에서 gMSA를 만든 다음 관리 서비스 계정을 지원하는 서비스를 구성합니다. gMSA의 사용 범위는 LDAP(Lightweight Directory Access Protocol)를 사용하여 gMSA의 자격 증명을 검색할 수 있는 모든 컴퓨터로 범위가 지정됩니다. AD 모듈의 New-ADServiceAccount 일부인 cmdlet을 사용하여 gMSA를 만들 수 있습니다. 아래의 서비스는 호스트에서 서비스 ID 구성을 지원합니다.

Prerequisites

gMSA를 관리하려면 디바이스가 다음 요구 사항을 충족해야 합니다.

Tip

gMSA를 사용할 수 있는 호스트 또는 서비스를 제어하려면 지정된 보안 그룹(신규 또는 기존)에 해당 컴퓨터 계정을 추가하고 이 그룹에 필요한 권한을 할당합니다. 마찬가지로, 보안 그룹을 사용하여 gMSA에서 실행되는 서비스에 대한 액세스를 관리하여 그룹에 서비스 작업 및 리소스 액세스에 필요한 모든 권한이 있는지 확인합니다.

Kerberos 인증이 gMSA를 사용하여 서비스와 작동하려면 다음이 필요합니다.

  • gMSA를 사용하여 각 서비스에 대해 SPN이 올바르게 등록되었는지 확인합니다. 이를 통해 Kerberos는 서비스를 식별하고 인증할 수 있습니다.

  • 이름 확인을 위해 DNS 레코드가 올바르게 설정되었는지 확인합니다. Kerberos는 도메인 서비스 찾기에 의존합니다.

  • 방화벽 및 네트워크 정책에서 Kerberos 트래픽 및 필요한 서비스 통신을 허용하는지 확인합니다.

  • Kerberos 티켓 수명 설정의 경우 보안 및 운영 요구 사항에 따라 티켓 만료 및 갱신 정책을 구성합니다.

  • 인증 프로세스와 관련된 모든 시스템에는 동기화된 클록이 있어야 합니다. Kerberos는 시간 구성에 민감하며 불일치로 인해 인증 오류가 발생할 수 있습니다.

도메인 컨트롤러가 아닌 컴퓨터에서 AD를 관리하는 경우 RSAT(원격 서버 관리 도구)를 설치하여 필요한 관리 기능에 액세스합니다. RSAT는 PowerShell용 AD 모듈을 제공합니다. RSAT를 설치한 후 관리자 권한으로 PowerShell을 열고 실행 Import-Module ActiveDirectory 하여 AD 관리 cmdlet을 사용하도록 설정합니다. 이를 통해 관리자는 AD를 원격으로 안전하게 관리하여 도메인 컨트롤러의 부하를 최소화할 수 있습니다.

gMSA 만들기

PowerShell을 사용하여 gMSA를 만들려면 관리자 권한 PowerShell 창에서 다음 단계를 수행합니다.

Important

gMSA 계정 이름은 도메인이 아니라 포리스트 수준 내에서 고유해야 합니다. 이름이 중복된 gMSA 계정을 만들려는 시도는 다른 도메인에서도 실패합니다.

  1. KDS 루트 키가 없는 경우 키 배포 서비스 KDS 루트 키 만들기의 지침에 따라 KDS 루트 키를 만듭니다. 키가 이미 있는 경우 이 단계를 건너뜁니다.

  2. gMSA를 만들려면 다음 명령을 실행합니다. <gMSAName>를 원하는 gMSA 이름으로, <domain>를 도메인 이름으로 바꿉니다. gMSA의 암호를 검색할 수 있는 액세스 권한이 있어야 하는 보안 그룹 또는 컴퓨터 계정의 이름으로 바꿉 <SecurityGroup> 니다.

    New-ADServiceAccount -Name <gMSAName> -DNSHostName <gMSAName>.<domain> -PrincipalsAllowedToRetrieveManagedPassword <SecurityGroup>

    아웃바운드 인증에 대해서만 gMSA를 만들려면 다음 명령을 실행합니다. 숫자 값으로 대체 <Days> 합니다. 값이 제공되지 않으면 기본적으로 30 일로 설정됩니다.

    New-ADServiceAccount -Name <gMSAName> -DNSHostName <gMSAName>.<domain> -RestrictToOutboundAuthenticationOnly -ManagedPasswordIntervalInDays <Days> -PrincipalsAllowedToRetrieveManagedPassword <SecurityGroup>

    Important

    암호 변경 간격은 만드는 동안에만 설정할 수 있습니다. 간격을 변경해야 하는 경우 새 gMSA를 만든 후 만들기 과정에서 이를 설정해야 합니다.

  3. 다음 명령을 실행하여 대상 디바이스가 gMSA 암호를 검색할 수 있는 액세스 권한이 있는지 확인합니다.

    Test-ADServiceAccount -Identity <gMSAName>

이 절차를 완료하려면 적절한 보안 그룹의 멤버 자격 또는 개체를 만드는 msDS-GroupManagedServiceAccount 데 필요한 위임된 권한이 있어야 합니다. 계정 운영자의 구성원은 AD에서 특정 사용자 및 그룹 개체를 관리할 수 있지만 해당 권한이 위임되지 않는 한 gMSA를 만들 수 있는 기본 권한이 없습니다. 적절한 계정 및 그룹 멤버 자격을 사용하는 방법에 대한 자세한 내용은 Active Directory 보안 그룹을 참조하세요.

cmdlet을 사용하여 gMSA 속성을 업데이트할 수도 있습니다. Set-ADServiceAccount 예를 들어 컴퓨터 표시 이름을 업데이트하려면 다음 명령에서 <gMSAName><NewDisplayName>를 자신의 값으로 바꿔 실행합니다.

Set-ADServiceAccount -Identity "<gMSAName>" -DisplayName "<NewDisplayName>"

gMSA에 대한 다른 속성을 설정하는 방법에 대한 자세한 내용은 Set-ADServiceAccount를 참조하세요.

gMSA의 변경 내용 확인

gMSA를 변경한 후 gMSA가 올바르게 업데이트되었는지 확인할 수 있습니다. 이러한 변경 내용에는 gMSA 추가, 삭제 및 제거가 포함됩니다. gMSA 속성에 대한 업데이트가 수행되는 경우 언제든지 이 단계를 수행할 수도 있습니다.

다음 명령을 실행하여 만든 gMSA의 이름으로 <gMSAName>을(를) 바꾸십시오.

Get-ADServiceAccount -Identity "<gMSAName>" | Select-Object *

보안 그룹에 멤버 호스트 추가

Note

  • 그룹 중심 관리 (Add-ADGroupMember / Remove-ADGroupMember): 특정 그룹의 멤버 자격을 관리하려는 경우 이러한 cmdlet을 사용합니다. 여러 사용자, 컴퓨터 또는 다른 개체를 단일 그룹에 효율적으로 추가하거나 제거하는 데 가장 적합합니다.

  • 주체 중심 관리 (Add-ADPrincipalGroupMembership / Remove-ADPrincipalGroupMembership): 여러 그룹에서 특정 사용자 또는 컴퓨터의 멤버 자격을 관리하는 것이 목표일 때 이러한 cmdlet을 선택합니다. 단일 작업에서 여러 그룹에 주체를 추가하거나 제거할 수 있으므로 개별 계정의 그룹 소속을 더 쉽게 업데이트할 수 있습니다.

보안 그룹을 사용하여 멤버 호스트를 관리하는 경우 gMSA의 멤버 호스트가 포함된 보안 그룹에 새 멤버 호스트의 컴퓨터 계정을 추가합니다. 다음 방법 중 하나를 사용하여 이 작업을 수행할 수 있습니다.

ADUC(Active Directory 사용자 및 컴퓨터) 스냅인을 사용하려면 그룹에 컴퓨터 계정 추가Active Directory 사용자 및 컴퓨터의 사용자 계정 관리를 참조하세요.

컴퓨터 계정을 사용하는 경우 기존 계정을 찾은 다음 새 컴퓨터 계정을 추가합니다.

보안 그룹에서 멤버 호스트 제거

ADUC 스냅인을 사용하려면 컴퓨터 계정 삭제사용자 계정 제거를 참조하세요.

시스템에서 gMSA 제거

ADUC에서 gMSA를 제거할 수는 없지만 관리 서비스 계정 컨테이너에서 gMSA를 찾아서 다른 AD 개체처럼 삭제하여 gMSA를 수동으로 삭제할 수 있습니다. 그러나 이것은 PowerShell의 `Uninstall-ADServiceAccount`와 동일한 정리 작업을 수행하지 않습니다.

gMSA를 제거하려면 관리자 권한 PowerShell 창을 열고 다음 단계를 수행합니다.

  1. 사용자 환경에서 단일 gMSA를 제거하려면 <gMSAName>를 해당 값으로 대체하여 다음 명령을 실행합니다.

    Uninstall-ADServiceAccount -Identity <gMSAName>

  2. 사용자 환경에서 여러 gMSA를 제거하려면 다음 명령을 실행하고 <gMSA#$>를 본인의 값으로 바꾸십시오.

    $gMSANames = @("gMSA1$", "gMSA2$", "gMSA3$")

foreach ($gMSAs in $gMSANames) {
  Uninstall-ADServiceAccount -Identity $gMSAs
}

Uninstall-ADServiceAccount cmdlet에 대한 자세한 정보는 Uninstall-ADServiceAccount를 참조하세요.

참고하십시오

  • Last updated on