none
AD에서 로컬로그인 막는 방법좀 알려주세요 RRS feed

  • 질문

  • 사내에 AD를 적용하려고 합니다.

     

    1) 로그인창에 보면 옵션을 선택하여 이컴퓨터(로컬), 도메인 선택하게 되어 있습니다.

    유저가 도메인으로만 로그인하게 하는 방법이 없을까요?

     

    답변좀 부탁드립니다~

    2008년 9월 20일 토요일 오전 8:09

모든 응답

  • 로컬보안정책에서 설정이 가능합니다. 물론 GPO를 통해서 배포도 가능하구요.

    하지만 로컬 로그온 보안설정을 할경우에 관리자가 로그인 할 수 있는 최소한의 계정은 두어야 합니다.

    Active Directory의 경우 간혹 프로파일 업로드 장애가 발생하게 되는데 이런경우 도메인인증을 통해서 PC에 로그인이 불가능 합니다.

    AD 변환이후 Administrator의 패스워드를 일괄 변경하시고 관리 하시는게 더 효율적 일 것으로 판단됩니다.

     

    로컬 로그온 허용
    a. 배경

    Ctrl+Alt+Del 로그온 키를 사용하여 Microsoft Windows 기반 컴퓨터의 콘솔에 로그온하려는 사용자와 서비스를 시작하려는 계정에는 호스팅 컴퓨터에 대한 로컬 로그온 권한이 있어야 합니다. 로컬 로그온의 예로는 구성원 컴퓨터의 콘솔에 로그온하는 관리자나 권한이 없는 계정을 사용하여 데스크톱에 액세스하기 위해 구성원 컴퓨터에 로그온하는 도메인 사용자와 기업 전체의 도메인 컨트롤러가 있습니다. 원격 데스크톱 연결이나 터미널 서비스를 사용하는 사용자는 이러한 로그온 모드가 호스팅 컴퓨터에 로컬로 간주되기 때문에 Windows 2000이나 Windows XP를 실행하는 대상 컴퓨터에 대해 로컬 로그온 허용 사용자 권한을 갖고 있어야 합니다. 터미널 서버가 설정된 서버에 로그온하는 사용자가 이 사용자 권한을 갖고 있지 않지만 터미널 서비스를 통한 로그온 허용 사용자 권한을 갖고 있으면 Windows Server 2003 도메인에서 원격 대화형 세션을 시작할 수 있습니다.
    b. 위험한 구성

    위험한 구성은 다음과 같습니다.
    기본 도메인 컨트롤러 정책에서 Account Operators, Backup Operators, Print Operators 또는 Server Operators 및 기본 제공 Administrators 그룹을 비롯한 관리 보안 그룹 제거
    기본 도메인 컨트롤러 정책에서 도메인에 있는 도메인 컨트롤러와 구성원 컴퓨터의 프로그램 및 구성 요소에서 사용되는 서비스 계정 제거
    도메인에 있는 구성원 컴퓨터의 콘솔에 로그온하는 사용자 또는 보안 그룹 제거
    구성원 컴퓨터나 작업 그룹 컴퓨터의 로컬 SAM(보안 계정 관리자) 데이터베이스에 정의된 서비스 계정 제거
    도메인 컨트롤러에서 실행 중인 터미널 서비스를 통해 인증되며 기본 제공되지 않는 관리 계정 제거
    Everyone 그룹을 통해 명시적으로나 암시적으로 도메인의 모든 사용자 계정을 로컬 로그온 거부 로그온 권한에 추가. 이 구성은 사용자가 도메인에 있는 도메인 컨트롤러나 구성원 컴퓨터에 로그온하지 못하도록 합니다.
    c. 이 사용자 권한을 부여하는 이유
    사용자가 작업 그룹 컴퓨터, 구성원 컴퓨터 또는 도메인 컨트롤러의 콘솔이나 데스크톱에 액세스하려면 로컬 로그온 허용 사용자 권한을 갖고 있어야 합니다.
    사용자가 Window 2000 기반 구성원 컴퓨터나 도메인 컨트롤러에서 실행되는 터미널 서비스 세션을 통해 로그온하려면 이 사용자 권한을 갖고 있어야 합니다.
    d. 이 사용자 권한을 제거하는 이유
    승인된 사용자 계정만 콘솔에 액세스하도록 제한하지 않으면 권한이 없는 사용자가 악의적인 코드를 다운로드하고 실행하여 사용자 권한을 변경할 수 있습니다.
    로컬 로그온 허용 사용자 권한을 제거하면 도메인 컨트롤러나 응용 프로그램 서버 같은 컴퓨터의 콘솔에 권한이 없는 사용자가 로그온할 수 없습니다.
    이 로그온 권한을 제거하면 도메인에 있는 구성원 컴퓨터의 콘솔에 비도메인 계정이 로그온할 수 없습니다.
    e. 호환성 문제의 예
    Windows 2000 터미널 서버: 로컬 로그온 허용 사용자 권한은 사용자가 Windows 2000 터미널 서버에 로그온하는 데 필요합니다.
    Windows NT 4.0, Windows 2000, Windows XP 또는 Windows Server 2003: Windows NT 4.0, Windows 2000, Windows XP 또는 Windows Server 2003을 실행하는 컴퓨터의 콘솔에 로그온하려면 사용자 계정에 이 사용자 권한을 부여해야 합니다.
    Windows NT 4.0 이상: Windows NT 4.0 이상을 실행하는 컴퓨터에서 로컬 로그온 허용 사용자 권한을 추가하지만 로컬 로그온 거부로그온 권한도 암시적 또는 명시적으로 부여하는 경우 해당 계정은 도메인 컨트롤러의 콘솔에 로그온할 수 없습니다.
    2008년 11월 6일 목요일 오전 8:36
  •  아마 이런 부분은 AD를 관리하는 사람들은 누구나 겪는 내용일 것입니다.

    저도 이 부분에 대해서 많이 고민했습니다. 그러나 완벽한 정답은 없더군요 왜냐하면 기본적인 로컬 어드민 계정은 관리차원에서
    반드시 살려둬야 하고 나머지 계정들은 삭제하거나 사용안함으로 셋팅한다고 해도 사용자가 도메인 계정을 사용하더라도
    해당 PC에 어드민 권한을 가진 계정이기에 마음만 먹으면 로컬 어드민 계정 패스워드를 임의로 변경할 수도 있고
    해당 로컬 어드민 계정으로 들어올 수 있습니다.

    정말 완벽하게 막을려면 MS에서 이 부분을 생각해서 윈도우 로그인시 로그온 대상을 변경을 할때 ( 로컬PC와 도메인을 선택하는 창)
    관리자 패스워드를 물어보거나 아니면 특정 코드를 입력해야 변경할 수 있다고 하거나 해서 평소에는 해당 선택창이 비활성되어 있지만
    중대한 시스템 문제로 인해서 관리자가 불가피하게 해당 PC에 로컬 어드민 계정으로 접속할려고 할때 특정 코드를 입력해서
    해당 선택창이 활성화가 되는 시스템이 효과적이라고 생각하네요

    2009년 3월 6일 금요일 오전 1:41