none
[Tip] Windows Sever 2003 Domain policy 문의 RRS feed

  • 질문

  • 1. 도메인 그룹정책에서 계정잠금 임계값의 기본값은 무엇입니까?

    2. AD User 계정잠금을 한번에 해제할수 있습니까?



    2012년 5월 22일 화요일 오후 1:28
    중재자

답변

  • 아래 확인 부탁드립니다.

    1. 계정 잠금 기간
    이 정책 설정은 계정의 잠금을 해제하고 사용자가 다시 로그온을 시도하기 전까지 경과해야 하는 기간을 결정합니다. 이 설정은 잠겨진 계정을 사용할 수 없는 시간(분)을 지정합니다. 계정 잠금 기간 값을 0으로 설정하면 관리자가 계정의 잠금을 해제할 때까지 계정은 잠겨 있습니다. 이 정책 설정에 대한 Windows Server 2003 SP1 기본값은 정의되지 않음입니다.
    하지만 Windows Server 2003에서 권장사항은 아래와 같은 0 입니다.
    계정 잠금 임계값 설정 값이 구성되어 있을 때와 구성되어 있지 않을 때 모두 보안 문제가 발생할 수 있으므로 이러한 각각의 가능성에 대해 뚜렷한 대책이 정의됩니다. 조직에서는 확인된 위협과 완화시킬 위험을 기반으로 하는 두 가지 사이의 선택을 비교해야 합니다.
    · 계정 잠금을 방지하려면 계정 잠금 임계값을 0으로 설정합니다. 이렇게 하면 사용자가 실수로 자신의 계정을 잠글 수 없으므로 지원 부서에 대한 문의 요청이 줄어듭니다. 또한 조직의 계정을 잠그려고 시도하는 DoS 공격은 실패합니다. 그러나 무단 공격까지 막을 수는 없으므로 다음 두 조건을 모두 충족하는 경우에만 계정 잠금 임계값을 0으로 설정하는 것이 좋습니다.

    [참고자료] 
    Windows Server 2003 보안 가이드 도메인 정책
     
    2. AD User에 대한 계정잠금을 한번에 해제하는 방법은 gpupdate를 사용해서 그룹정책을 다시 강제 적용하는 방법입니다. 초기 계정잠금 정책을 설정 후 다시 정의하지 않은 상태로
    현재 AD Server에 대한 그룹 정책을 다시 적용하시면 가능 할것 같습니다. 자세한 사항은 아래 사이트를 참고하시기 바랍니다.

    [참고자료]

    그룹 정책 업데이트 유틸리티에 대한 설명

    2012년 5월 22일 화요일 오후 1:31
    중재자