none
[Security Tips] Computer 객체 설정

    일반 토론

  • 질문

     

    Active Directory의 컴퓨터 객체를 설정할 수 있습니다.

     

    답변

     

    Step 1 : Computer 계정 재설정

    계정 재설정을 통해서 도메인에 같은 이름으로 조인을 할 수 있습니다. 도메인에 가입되어 있는 서버가 강제로 삭제 후 Computer Account를 삭제하고 다시 가입하면 Group의 구성원 정보가 삭제됩니다. 이런 경우에 Computer Account 계정을 재 설정 후 가입하면 기존 Group의 구성원 정보는 유지할 수 있습니다.

    GUI

    1.     시작 -> 실행 -> dsa.msc를 입력 후 실행합니다.

     

    2.     좌측 패널에서 Computer Account가 존재하는 OU로 이동을 합니다.

     

    3.     우측 패널에서 Computer Account를 우 클릭 후 Reset Account를 실행합니다.

    VBScript

    WSCript.Echo WSCript.Arguments(0) & "Computer 계정 리셋을 시작합니다."

    strComputerDN = WScript.Arguments(0)

    set objComputer = GetObject("LDAP://" &  strComputerDN)

    objComputer.SetPassword strComputerDN

     

     

    Step 2 : 사용하지 않는 Computer 계정 찾기

    아래의 Function은 최근 6개월 동안 로그인하지 않은 Computer Account계정을 확인할 수 있습니다. Domain Distinguished Name을 인자로 사용합니다.

    PowerShell

    function Get-UnusedComputerAccount()

    {

        param(

            [Parameter(Mandatory=$true)]

            $domaindn

        )  

       

        trap [Exception]

        {

            Write-Error $_.Exception.Message

        }

       

        $last6mon = [System.DateTime]::Now.AddMonths(-6).ToFileTime()

        $domaindn = [System.String]::Format("LDAP://{0}", $domaindn)

       

        $root = New-Object DirectoryServices.DirectoryEntry $domaindn

       

        $selector = New-Object DirectoryServices.DirectorySearcher

        $selector.SearchRoot = $root;

        $selector.Filter = [System.String]::Format("(&(ObjectCategory=Computer)(lastLogonTimestamp<={0}))", $last6mon)

       

        $resultedObjects = $selector.Findall()   

        $resultedObjects | ForEach-Object { Write-Host $_.GetDirectoryEntry().DistinguishedName }   

    }

    Get-UnusedComputerAccount

     

    Step 3 : 컴퓨터 계정에 권한 위임 허용

    Trust this computer for delegation(Kerberos only) 을 사용하면 모든 서비스를 여러 사용자 권한으로 사용을 할 수 있습니다. 해당 머신에서 Web ApplicationApplication Pool IdentityLocal System으로 설정한 경우 Web Application에서Domain내에 있는 서비스 요청시 요청한 사용자권한으로 서비스를 이용할 수 있습니다.

    1.     시작 -> 실행 -> dsa.msc를 입력 후 실행합니다.

     

    2.     좌측 패널에서 Computer 객체가 존재하는 OU로 이동을 합니다.

     

    3.     우측 패널에서 Computer 객체를 우 클릭 후 Properties를 실행합니다.

     

    4.     Delegation탭으로 이동을 합니다.

     

    5.     Trust this computer for delegation to any service (Kerberos only) 라디오 버튼을 선택 후 OK버튼을 클릭 합니다.

     

    2011년 10월 20일 목요일 오전 9:23
    중재자