개요
이번 장에서는 AD 도메인 서버를 최초 구성했을 때, 기본적으로 어떤 계정이 어떤 권한을 부여받은 채로 생성되는지 기본적으로 존재하는 권한 그룹의 종류와 해당 그룹이 가지고 있는 정책에 대해서 알아보자.
AD 기본 계정
최초로 AD Domain Server를 구축하게 되면 아래와 같이 세 개의 계정(Administrator, Guest, krbtgt)이 생성된다.
CMD 창을 띄우서 "net /domain user {계정}" 명령을 통해해당 계정들의 상세정보를 출력해보자
1. Administrator
- 설명: 도메인 최고 수준의 권한을 가진 관리자 계정
- 용도: 도메인 관리 작업, 보안 작업, 필요한 모든 작업
- 권한: *Administrators, *Group Policy Creator, *Schema Admins, *Enterprise Admins, *Domain Admins, *Domain Users
- 주의사항: 매우 강력한 권한을 가지고 있기 때문에 비밀번호를 안전하게 관리하고, 해당 계정 사용을 최소화해야하며, 일상 작업에서는 다른 계정을 사용해야함
2. Guest
- 설명: 게스트 계정으로 기본 비활성 상태인 계정
- 용도: 일시적 또는 제한된 액세스가 필요한 사용자를 위한 계정이지만, 대부분 환경에서 보안 상 이유로 비활성 또는 계정 삭제 대상
- 권한: *Guests, *Domain Guests
- 주의사항: 계정을 사용하려면 명시적 활성화해야 하며, 활성 시에는 보안 리스크 고려 필요
3. krbtgt
- 설명: 윈도우 도메인에서 커버로스(Kerberos) 인증을 위한 특수 계정
- 용도: Key Distribution Center(KDC) 서비스 일부로 커버로스 인증 티켓을 발급하고 관리하는 용도로 사용
- 권한: *Denied RODC Password, *Domain Users
- 주의사항: 인증을 위한 특수 계정으로 기본 비활성 상태로 되어있으며, 관리자 또는 사용자가 해당 계정을 직접 사용하거나 임의로 변경하는 경우 도메인 내의 Kerberos 인증을 깨뜨릴 수 있음
AD 권한 그룹 종류
AD 도메인 서버에서 아래 경로로 접근하여 AD 도메인 서버를 구축했을 때 기본으로 제공되는 권한 그룹 종류를 알아보자.
- 경로: Server Manager > Tools > Active Directory Users and Computers
| AD 권한 그룹 명 | 유형 | 설명 |
| Allowed RODC Password Replication Group | Security Group - Domain Local | 이 그룹의 구성원은 비밀번호 복제를 허용할 수 있음 (Read-Only Domain Controller에 적용) |
| Cert Publishers | Security Group - Domain Local | 이 그룹의 구성원은 공개 키 인증서를 발행할 수 있음 |
| Denied RODC Password Replication Group |
Security Group - Domain Local | 이 그룹의 구성원은 비밀번호 복제를 할 수 없음 |
| DnsAdmins | Security Group - Domain Local | DNS 관리자 그룹 |
| RAS and IAS Servers | Security Group - Domain Local | 원격 접속 서비스(Remote Access Service)와 인터넷 인증 서비스(Internet Authentication Service) 서버에 대한 접근을 관리하는 그룹 |
| Cloneable Domain Controllers |
Security Group - Global | 복제가 가능한 도메인 컨트롤러를 위한 그룹 |
| DnsUpdateProxy | Security Group - Global | NS 클라이언트들이 동적으로 DNS 레코드를 업데이트할 수 있게 허용하는 그룹 |
| Domain Admins | Security Group - Global | 도메인의 지정된 관리자 |
| Domain Computers | Security Group - Global | 도메인에 가입된 모든 컴퓨터 |
| Domain Controllers | Security Group - Global | 도메인의 모든 도메인 컨트롤러 |
| Domain Guests | Security Group - Global | 도메인의 모든 게스트 계정 |
| Domain Users | Security Group - Global | 도메인의 모든 사용자 계정 |
| Group Policy Creator Owners |
Security Group - Global | 그룹 정책을 수정할 수 있는 구성원들의 그룹 |
| Key Admins | Security Group - Global | 키 관리자 그룹 |
| Protected Users | Security Group - Global | 추가적인 보호를 받는 사용자들을 위한 그룹 |
| Read-only Domain Controllers |
Security Group - Global | 읽기 전용 도메인 컨트롤러들을 위한 그룹 |
| Enterprise Admins | Security Group - Universal | 전사적인 리소스의 지정된 관리자 |
| Enterprise Key Admins | Security Group - Universal | 전사적인 키 관리자 |
| Enterprise Read-only Domain Controllers |
Security Group - Universal | 전사적인 읽기 전용 도메인 컨트롤러들을 위한 그룹 |
| Schema Admins | Security Group - Universal | 스키마 관리자 그룹 |
| Administrator | User | 도메인의 관리자 계정 |
| Guest | User | 게스트 계정 |
AD 권한 그룹 정책(GPO)
위에서 언급한 AD 기본 권한 그룹들의 설명에서는 해당 권한이 실제 윈도우 단말 환경에서 어떠한 권한을 가지고 있는지 확인할 수 없기 때문에 Group Policy Management 도구를 통해 실제 적용된 정책을 확인할 수 있다.
- 경로: 시작 > group policy management
'기술보안 > 기타' 카테고리의 다른 글
| 레드팀 인프라 구축(5) (DNS 구축) (0) | 2023.12.31 |
|---|---|
| SRUDB(SRUM) 분석 (0) | 2023.12.31 |
| 암호 화폐를 추적해보자 (0) | 2023.11.30 |
| 레드팀 인프라 구축(3) (그레이 공간 생성과 클라우드 설정) (0) | 2023.09.30 |
| [Active Directory] 2장. AD 설치 및 AD Join (0) | 2023.07.31 |