Active Directory 보안 그룹
액티브 디렉토리(기원 후)는 Windows 도메인 네트워크용으로 개발된 Microsoft 독점 디렉토리 서비스입니다. 이는 대부분의 Windows Server 운영 체제에 포함되어 있어 네트워크 관리자가 네트워크 내에서 도메인, 사용자, 개체, 권한 및 액세스를 생성하고 관리할 수 있습니다.
AD 레이아웃은 도메인, 트리 및 포리스트로 구성된 계층 구조를 따릅니다. 도메인은 동일한 AD 데이터베이스를 공유하는 개체(예: 사용자 또는 장치) 그룹입니다. 트리는 도메인의 모음이고 포리스트는 트리의 모음입니다. 별도의 포리스트에 있는 개체는 서로 상호 작용할 수 없으며 이는 구조적 보안 경계 역할을 합니다. 즉, 도메인이 별도의 포리스트에 있지 않으면 도메인이 서로 보호되지 않습니다.
Active Directory 그룹은 Active Directory 개체의 모음입니다. 그룹은 사용자, 컴퓨터 및 기타 AD 개체와 관리 가능한 단위로 수집된 그룹으로 구성됩니다. 개별 개체(예: 사용자 및 컴퓨터)와 달리 그룹 작업은 네트워크 관리 및 유지 관리를 단순화하는 데 도움이 됩니다. Active Directory 그룹에는 Active Directory 배포 그룹과 Active Directory 보안 그룹이라는 두 가지 범주가 있습니다.
사이버범죄자들은 일반적으로 표적으로 삼는다. 액티브 디렉토리 조직의 자원이나 데이터에 접근하기 위한 네트워크. 이것이 바로 AD 보안에 주의를 기울이는 것이 중요한 이유입니다. 이 문서에서는 AD 보안 그룹, 권한, 모범 사례 및 AD 보안 그룹 관리 도구에 대해 설명합니다. 이 정보가 Windows AD 네트워크를 보호하는 방법에 대한 더 나은 통찰력을 얻는 데 도움이 되기를 바랍니다.
AD 보안 그룹 및 권한
Active Directory 그룹 관리는 네트워크 전체에서 사용자와 장치를 AD 그룹으로 묶어서 분류하고 관리하는 것입니다.
AD 보안 그룹을 사용하면 네트워크 관리자는 개별 사용자에게 권한을 한 번에 한 명씩 수동으로 할당하는 대신 사용자 또는 장치 모음 간의 공유 리소스에 대한 권한, 정책 설정 및 그룹 액세스를 한 번에 관리할 수 있습니다. 예를 들어, HR 부서의 직원에게 특정 네트워크 폴더에 대한 액세스 권한을 부여하려면 해당 부서의 직원으로 구성된 보안 그룹을 생성해야 합니다.
이를 통해 여러 사용자에게 권한을 한 번 할당할 수 있으므로 네트워크 관리가 단순화됩니다. 필요에 따라 사용자를 그룹에 추가하거나 제거할 수 있습니다. 그룹 멤버십의 변경 사항은 자동으로 모든 곳에 적용됩니다. AD 보안 그룹을 통해 네트워크 관리자는 다음을 수행할 수 있습니다.
- 사용자 권한 할당: 보안 그룹에 사용자 권한을 할당할 수 있습니다. 이는 그룹 내의 사용자가 도메인이나 포리스트 내에서 수행할 수 있는 작업과 수행할 수 없는 작업을 제어하는 데 도움이 됩니다. 일부 보안 그룹의 경우 관리 목적으로 사용자 권한이 자동으로 할당되며, 이는 그룹 구성원에게 상속될 수 있습니다. 필요한 경계 내에 있는지 확인하기 위해 자동으로 할당된 사용자 권한에 특별한 주의를 기울이는 것이 중요합니다.
- 리소스에 대한 권한을 할당합니다. 사용자 권한은 사용자 권한과 다릅니다. 권한은 사용자가 소유한 기능을 정의하는 반면, 권한은 리소스에 대한 액세스와 관련됩니다. 일부 보안 그룹은 기본적으로 생성되며 Active Directory 도메인을 생성할 때 권한이 자동으로 할당됩니다. 자동 보안 권한으로 인해 이러한 유형의 그룹을 관리할 때는 다시 한 번 특별한 주의를 기울여야 합니다.
리소스(예: 네트워크 폴더, 프린터)에 대한 권한을 할당할 때 개별 사용자보다는 보안 그룹에 해당 권한을 할당하는 것이 가장 좋습니다. 보안 그룹의 구성원은 Active Directory에서 해당 그룹에 할당된 권한과 사용 권한을 상속합니다.
Active Directory 그룹(보안 그룹 포함)은 해당 범위로 특징지어집니다. 그룹의 범위는 도메인 트리나 포리스트에서 그룹이 적용되는 범위를 결정하고 그룹에 권한을 부여할 수 있는 위치를 정의합니다. 다음 세 가지 그룹 범위는 Active Directory에 의해 정의됩니다.
- 도메인 로컬: 도메인 로컬은 다양한 도메인 리소스(예: 파일 및 폴더 NTFS 권한 , 원격 데스크톱 액세스 등)이 생성된 도메인에서; 도메인 내 어디든 적용할 수 있습니다. 도메인 로컬 그룹에는 신뢰할 수 있는 도메인의 구성원이나 다른 유형의 구성원이 포함될 수 있습니다.
- 글로벌: 글로벌 그룹 범위는 다른 도메인의 리소스에 대한 액세스를 제공하는 데 사용됩니다. 글로벌 그룹은 일반적으로 역할 기반 그룹으로 사용됩니다. 이는 도메인 개체(예: 사용자 및 컴퓨터)가 비즈니스 역할을 기반으로 정의됨을 의미합니다.
- 유니버설: 이름에서 알 수 있듯이 유니버설 그룹 범위를 사용하면 역할을 정의하고 포리스트의 여러 도메인에 분산된 리소스에 대한 액세스를 관리할 수 있습니다.
AD 보안 그룹 모범 사례
Active Directory 보안 그룹에는 관리자, 도메인 관리자, 서버 운영자, 계정 운영자, 사용자, 게스트 등이 포함됩니다. 모범 사례 사고방식으로 이러한 보안 그룹을 관리하는 방법을 잘 이해하는 것이 시스템을 안전하게 유지하는 데 중요합니다. 다음은 주요 AD 보안 그룹 모범 사례입니다.
- 기본 보안 그룹에 과도한 권한이 없는지 확인: 정기적으로 감사 권한 Active Directory 도메인을 설정할 때 기본 보안 그룹에 의해 자동으로 할당됩니다. 이러한 그룹 중 일부는 광범위한 권한을 갖고 있기 때문입니다. 사용자가 일상적인 작업을 수행하는 데 필요한 액세스 권한만 갖고 있는지 확인하세요. 더 높은 접근권한이 요구되는 경우, 필요할 때 임시적으로 제공되어야 합니다.
- 소프트웨어를 정기적으로 업데이트하십시오. Windows 소프트웨어 및 기타 타사 응용 프로그램이 정기적으로 업데이트되는지 확인하십시오. 공격자는 알려진 취약점을 악용하거나 활용하여 시스템을 손상시키는 경우가 많습니다. 정기적인 패치를 적용하면 이러한 위험을 최소화하는 데 도움이 될 수 있습니다.
- 좋은 비밀번호 정책: 구현 비밀번호 정책 사용자가 복잡한 규칙에 초점을 맞추는 대신 쉽게 기억할 수 있는 암호를 사용하도록 권장합니다. 복잡성 규칙으로 인해 비밀번호를 기억하기가 더 어려워지고 대부분의 사용자는 결국 비밀번호를 적어두게 되므로 애초에 전체 목적이 무산됩니다. 또한 로그인 시도가 여러 번 실패하면 사용자를 잠그는 규칙을 설정하는 것이 좋습니다. 지원되는 Windows 사용을 채택하십시오. 2FA/MFA 추가 보호를 위해 Windows Hello 또는 FIDO와 같은
- 제로 트러스트 정책을 유지합니다. 제로 트러스트 이는 기본적으로 네트워크 내부 또는 외부에서 누구도 신뢰할 수 없으며 네트워크의 리소스에 액세스하려는 모든 사람의 확인이 필요함을 의미합니다. 내부자 위협은 출처를 추적하는 것이 엄청나게 어려울 수 있으므로 어떤 조직도 과소평가해서는 안 되는 위험입니다. 네트워크 리소스에 대한 최소 권한 액세스 원칙을 준수하고 사용자가 과도한 권한을 갖지 않도록 하십시오.
- AD 보안 그룹에 대한 변경 사항 감사: 감사는 비정상적인 사용자 행동과 시스템 이벤트를 감지하는 데 도움이 됩니다. 보안 그룹 내에서 발생하는 변경 사항에 대한 더 나은 가시성을 통해 AD 관련 보안 취약점 및 위협을 잠재적으로 예방할 수 있습니다. AD 보안 그룹에 대한 좋은 감사 전략을 갖는 것은 보안 위협을 방지하는 확실한 방법입니다. 과도한 권한이 생성된 경우 변경 사항을 조사하고 되돌릴 수 있도록 권한 있는 그룹에 대한 변경 사항은 실시간으로 경고되어야 합니다.
AD 보안 그룹 관리를 위한 최고의 도구 목록은 다음과 같습니다.
- SolarWinds 권한 분석기 편집자의 선택이 시스템은 상태 목록과 함께 각 기록을 표시하여 각 장치에 대해 가지고 있는 권한 구조를 식별하는 데 도움이 됩니다. Windows 서버에서 실행됩니다. 무료로 받으세요.
- SolarWinds 액세스 권한 관리자(ARM)(무료 시험판)이 패키지는 모든 AD 도메인의 프런트엔드로 작동하므로 많은 AD 기반 애플리케이션에서 모든 그룹, 계정 및 개체 권한을 조정할 수 있습니다. Windows 서버에서 실행됩니다.
- ManageEngine ADManager Plus(무료 평가판)여러 AD 도메인의 관리를 중앙 집중화하고 보고 기능도 제공하는 이 도구를 사용하여 인스턴스가 변조되지 않도록 보호하세요. Windows Server, AWS 및 Azure에서 실행됩니다.
- ManageEngine ADAudit Plus(무료 평가판)사용자 활동을 추적하고, AD 변조를 방지하고, 표준 준수를 시행하여 시스템 보안을 강화하려면 이 패키지를 사용하세요. Windows 서버에서 사용 가능
- Active Directory용 Quest 복구 관리자우발적이거나 악의적인 변경 사항을 신속하게 되돌릴 수 있는 Active Directory용 백업 서비스입니다. Windows 및 Windows Server에서 실행됩니다.
AD 보안 그룹 관리를 위한 최고의 도구
AD 보안 그룹 관리 도구를 선택하는 방법론
우리는 AD 보안 그룹을 관리하는 도구에 대한 시장을 검토하고 다음 기준에 따라 옵션을 분석했습니다.
- 그룹 및 멤버 표시
- 검색 시설
- 상속의 표시
- 각 그룹의 장치 권한에 대한 상호 참조
- 여러 도메인을 볼 수 있는 기능
- 의무 없는 평가 기회 또는 무료 도구를 위한 무료 평가판
- 가격 대비 가치를 제공하는 유료 도구 또는 설치할 가치가 있는 무료 도구
이러한 선택 기준을 염두에 두고 우리는 간단한 무료 도구와 보다 광범위한 AD 관리 기능을 갖춘 보다 복잡한 유료 시스템을 포함하는 다양한 AD 보안 그룹 관리 시스템을 찾았습니다.
1. SolarWinds 권한 분석기(무료 도구)
Microsoft Active Directory 프로그램의 일반적인 문제점 중 하나는 권한 관리 기능이 좋지 않다는 것입니다. 이것이 바로 SolarWinds Permissions Analyser가 돋보이는 부분입니다.SolarWinds 권한 분석기네트워크 관리자는 사용자 및 그룹 권한에 대한 더 나은 가시성을 확보하고, Active Directory 개체에 할당된 권한을 확인하고, 그룹 또는 사용자별 권한을 찾아보거나, 다중 도메인 Active Directory 포리스트에서도 그룹 멤버십 및 권한을 기반으로 사용자 권한을 분석할 수 있습니다.
그림 1.0 SolarWinds 권한 분석기 인터페이스를 보여주는 스크린샷
주요 특징들:
- 권한 상속 매핑
- 권한 브라우저
- 그룹 멤버십 분석기
- 다중 도메인
- 무료로 사용 가능
직원이 회사의 주요 리소스에 대한 과도한 권한을 획득하고 갑자기 내부에서 악의적인 활동을 수행하기 시작하는 내부자 위협 시나리오를 상상해 보십시오. 이 직원이 모든 종류의 주요 회사 그룹, 공유 네트워크 폴더 및 파일에 액세스할 수 있는 것을 확인했습니다. 하지만 그 누구도 무엇이 얼마인지 완전히 확신할 수는 없습니다. 이는 조직의 주요 보안 문제가 될 수 있으므로 현재 진행 중인 문제의 근본 원인을 신속하게 파악해야 합니다. 이를 조사하는 한 가지 방법은 이를 수행할 수 있는 기술과 경험이 있는 경우 PowerShell을 사용하는 것이지만 현실은 모든 사람이 사용하는 것은 아닙니다. SolarWinds Permissions Analyser가 작동하는 곳이 바로 여기입니다. 이 도구를 사용하면 네트워크 관리자는 팀 구성원 중 어느 구성원이 민감한 데이터에 대한 액세스 권한을 가지고 있는지 쉽게 식별할 수 있습니다.
장점:
- AD 권한 구조에 대한 통찰력을 얻을 수 있는 강력한 방법을 제공합니다.
- 개별 사용자 및 그룹 전체에 상속된 권한을 확인할 수 있는 훌륭한 시각적 방법을 제공합니다.
- 지속적인 계정 및 권한 모니터링 지원
- 감사, 내부 위협 탐지, ATO 공격 예방에 적합
- 완전 무료입니다
단점:
- 대규모 AD 환경에 더 적합합니다.
무엇보다도 SolarWinds Permissions Analyser는 무료로 다운로드할 수 있습니다.
편집자의 선택
SolarWinds 권한 분석기AD 데이터를 명확하고 이해하기 쉬운 형식으로 제공하기 때문에 AD 보안 그룹 관리 도구로 최고의 선택입니다. 겉으로는 단순해 보이는 인터페이스는 권한이 어떻게 배치되어 있는지 명확하게 볼 수 있게 해주기 때문에 실제로는 매우 강력합니다. 도메인을 쿼리하고 특정 그룹에 집중한 다음 모든 회원 계정을 볼 수 있습니다. 도구를 사용하여 도메인을 교차하여 계정과 그룹의 조정을 살펴보고 모든 개체가 동기화되었는지 확인하세요.
다운로드:이 도구를 무료로 다운로드하세요
공식 사이트:https://www.solarwinds.com/free-tools/permissions-analyzer-for-active-directory/registration
너:윈도우 서버
2. SolarWinds 액세스 권한 관리자(ARM)(무료 평가판)
SolarWinds ARMIT 및 보안 관리자가 도메인 전반의 시스템 및 데이터에 대한 사용자 액세스 권한과 권한을 관리하고 규제하는 데 도움을 주기 위해 설계되었습니다. 이는 사이버 위험으로부터 조직을 보호하는 중요한 단계입니다. 감사 및 권한 관리 기능을 사용하면 사용자 인증, 액세스 권한 및 그룹 정책을 쉽게 분석하여 누가 무엇에 액세스했는지, 언제 어떻게 액세스했는지 더 잘 시각화할 수 있습니다.
그림 2.0 SolarWinds ARM 대시보드를 보여주는 스크린샷
주요 특징들:
- 사용자 프로비저닝
- 권한 분석
- 역할 및 프로세스 최적화
- 보안 모니터링
사용자 계정 및 그룹을 생성하고 관리하려면 사용자 프로비저닝 모듈로 이동하세요. 이렇게 하면 동일한 설정을 가진 새 계정을 여러 도메인에 적용할 수 있습니다.
SolarWinds ARM의 권한 분석 기능은 관리자가 어떤 사용자가 어떤 데이터에 액세스할 수 있는지 정의하는 데 도움이 됩니다. 이 모듈의 기능을 사용하면 권한 설정을 보고, 액세스 경로를 추적하고, 중첩된 그룹 권한을 이해할 수 있습니다.
역할 최적화 프로그램을 사용하여 사업부 및 부서 전체에서 데이터 소유자를 결정하는 프로세스를 자동화합니다. 데이터 소유자는 사용자 액세스 권한 및 사용 권한을 결정하고 정의하는 데 중요한 역할을 합니다.
보안 모니터링을 통해 네트워크 관리자는 Active Directory, 파일 서버, 기타 시스템 및 도구 전반의 로그를 활용하여 주요 활동을 추적하는 보고서와 경고를 생성할 수 있습니다.
사용자 정의 보고서 생성 기능을 사용하면 관리를 위한 간단한 보고서부터 감사자에게 적합한 보다 기술적이고 상세한 보고서까지 다양한 AD 보고서를 빠르게 생성할 수 있습니다.
장점:
- 자동 매핑 및 시각화를 통해 권한 및 파일 구조를 명확하게 보여줍니다.
- 사전 구성된 보고서를 통해 규정 준수 여부를 쉽게 입증할 수 있습니다.
- 모든 규정 준수 문제는 검사 후 설명되며 교정 조치와 연결됩니다.
- 시스템 관리자는 Windows 및 기타 응용 프로그램에서 액세스 권한 및 제어를 사용자 정의할 수 있습니다.
단점:
- SolarWinds Access Rights Manager는 시스템 관리자를 위해 설계된 심층 플랫폼으로, 완전히 익히는 데 시간이 걸릴 수 있습니다.
SolarWinds Access Rights Manager 30일 무료 평가판 다운로드
3. ManageEngine ADManager Plus(무료 평가판)
AD매니저 플러스Windows Active Directory의 중앙 집중식 관리를 제공하는 웹 기반 AD 관리 및 보고 도구입니다. 이를 통해 IT 관리자는 사용자 친화적인 GUI를 통해 하나의 중앙 위치에서 AD 개체 및 그룹을 관리할 수 있습니다. 네트워크 관리자는 ADManager Plus를 사용하여 다음 기능을 수행할 수 있습니다.
- 사용자, 컴퓨터, 비활성 사용자, 비활성화된 사용자, 중첩 그룹의 사용자, 배포 그룹, 보안 그룹, 비활성 컴퓨터 등의 그룹에 대한 세부적인 보고서를 생성하고 봅니다.
- Exchange 사서함 및 터미널 서비스 속성을 포함한 기존 사용자 계정 속성을 수정합니다.
- CSV 파일에서 속성을 가져올 수 있는 유연성을 통해 Active Directory에 대량 사용자 계정을 만듭니다.
- 보안 주체에게 권한을 부여/취소하기 위한 보안 역할을 만들고 위임합니다.
그림 3.0 ADManager Plus 대시보드를 보여주는 스크린샷
ManageEngine ADManager Plus를 사용하여 보고서 생성 프로세스를 자동화할 수 있습니다. 이렇게 하면 Active Directory 프로그램을 수동으로 탐색하는 데 낭비되는 시간이 줄어들어 Active Directory가 더욱 편리해집니다.
주요 특징들:
- 대량 객체 생성 및 관리
- 비밀번호 관리
- 비활성 계정 감지
ADManager Plus 시스템은 여러 도메인에 대한 중앙 관리 콘솔을 제공합니다. 패키지에 포함된 도구를 사용하면 델타 사용자 계정을 대량으로 생성, 수정 및 할당할 수 있으며 사용자 계정을 그룹에 일괄 할당할 수도 있습니다. 이 작업은 CSV 파일에서 레코드를 로드하여 구현할 수 있습니다.
관리자는 사용자에게 요청을 실행하여 계정을 검색하고 비밀번호를 직접 복원할 수 있습니다. 사용자 계정이나 그룹을 수동으로 또는 개별적으로 변경할 수도 있습니다. 인터페이스에는 비활성 계정 식별자가 포함되어 있으며 요청 시 잠금을 해제할 수 있는 잠긴 계정을 찾아낼 수 있습니다. 그룹 간에 계정을 이동할 수도 있습니다.
이 도구는 iOS 및 Android를 실행하는 모바일 장치를 관리하는 데 사용할 수 있으며 Exchange Server, Microsoft 365, Google Workspaces 및 Skype for Business의 계정도 관리합니다. 시스템은 장치 및 리소스 권한을 관리하고 그룹에 권한을 할당하는 데 도움이 됩니다.
장점:
- Active Directory 전체에서 대량 권한 변경 지원
- 자세한 보고를 통해 모든 주요 표준(PCI, HIPAA 등)에 대한 규정 준수 보고서를 생성할 수 있습니다.
- 여러 도메인 지원 – 대규모 다중 사이트 조직에 적합
- NOC 또는 헬프 데스크 팀에 대한 위임 지원
- 공유 권한 및 보안 그룹의 세부 정보를 시각적으로 볼 수 있습니다.
단점:
- 여러 도메인을 지원하는 대규모 조직, MSP 및 서버에 더 적합
ManageEngine ADManager Plus는 다음에서 다운로드할 수 있습니다.30일 무료 평가판. 관리할 도메인 수에 따라 연간 구독으로 라이센스가 부여됩니다. Active Directory 관리를 보다 편리하게 만들고 싶은 사람은 물론 고품질 보고서 기능의 이점을 누리고 싶은 사람에게 이 제품을 추천합니다.
ManageEngine ADManager Plus 30일 무료 평가판 시작
4. ManageEngine ADAudit Plus(무료 평가판)
ADAudit 플러스ManageEngine의는 네트워크 관리자가 활성 디렉터리, 로그인 및 로그오프 기록, 파일 및 Windows 서버 데이터를 감사하고 실시간 사용자 활동 보고서를 생성할 수 있는 AD 감사 도구입니다. 주요 AD 감사 기능은 다음과 같습니다.
- Active Directory 감사
- Windows 파일 서버 감사
- NAS 장치 파일 감사
- Windows 서버 감사
- 워크스테이션 감사
- Azure AD 감사
그림 4.0 ADAudit Plus 대시보드를 보여주는 스크린샷
주요 특징들:
- 데이터 보호
- 내부자 위협 탐지
- 규정 준수 감사 추적
이 도구를 사용하면 어떤 직원이 언제 무엇을 했는지, Windows 및 파일 서버에서 누가 했는지 추적할 수 있습니다. 도메인 컨트롤러 및 파일 서버에 대한 보고서를 얻고 보고서를 CSV, PDF, XLSX 및 HTML 형식으로 내보낼 수 있습니다. 네트워크 관리자는 합법적인 사용자가 자신의 액세스 권한을 남용하는 것을 차단하거나 방지할 수 있습니다. 이 솔루션의 주요 이점 중 하나는 산업별 규정 준수를 기본적으로 지원한다는 것입니다. 이는 SOX, HIPAA, GLBA, PCI-DSS 및 FISMA 표준을 따르는 사전 구성된 표준 준수 보고서와 함께 번들로 제공됩니다. 따라서 규정 준수를 입증하기 위해 시스템을 사용자 정의하거나 자체 보고서를 설정할 필요가 없습니다.
장점:
- 규정 준수 요구 사항에 중점을 두어 업계 규정 준수를 유지하는 데 적합한 옵션입니다.
- 사전 구성된 규정 준수 보고서를 통해 단 몇 번의 클릭만으로 현재 상태를 확인할 수 있습니다.
- AD, Azure, Windows 파일 시스템을 포함한 다양한 환경 지원
- 강력한 자동화 및 스크립팅 도구 지원
- 뛰어난 사용자 인터페이스 - 매우 유익한 대시보드 및 시각적 요소
단점:
- 소규모 네트워크에는 최선의 옵션이 아닙니다.
ADAudit Plus는 Free, Standard, Professional의 세 가지 버전으로 제공됩니다. ㅏ30일 무료 평가판그리고온라인 데모Professional Edition의 모든 기능을 포함하는 모든 기능을 사용할 수 있습니다. 전반적으로 ADAudit Plus의 뛰어난 대시보드 및 분석 기능은 AD 환경에 대한 통찰력과 가시성을 얻을 수 있는 강력한 도구입니다.
ManageEngine ADAudit Plus 30일 무료 평가판 시작
5. Active Directory용 Quest Recovery Manager
사람의 실수, 하드웨어 및 소프트웨어 충돌이 발생합니다. AD 개체는 종종 실수로 수정되거나 삭제될 수도 있습니다. 잘못된 스크립트는 속성을 덮어쓸 수 있습니다. 이로 인해 Active Directory 또는 그룹 정책 데이터가 손상되고 계획되지 않은 시스템 가동 중지 시간이 발생할 수 있습니다.
그림 5.0 Active Directory용 Quest Recovery Manager 인터페이스를 보여주는 스크린샷
Active Directory 복구 네트워크 관리자가 개체 및 특성 수준에서 AD 환경의 변경 사항을 정확히 찾아내고 디렉터리의 전체 섹션(온-프레미스 AD 및 Azure AD 모두), 선택한 개체 또는 개별 특성을 신속하게 복구할 수 있는 타사 AD 도구입니다. AD 컨트롤러를 오프라인으로 전환하지 않고. 실제로는 Active Directory에서 개체가 손실된 경우 해당 개체를 복구하려면 도메인 컨트롤러를 다시 시작해야 합니다. Active Directory용 Recovery Manager를 사용하면 오프라인으로 전환하지 않고도 개체를 복구할 수 있으므로 이러한 불편함이 사라집니다.
주요 특징들:
- 실시간 복원
- 객체 수준 복구
- 예약된 백업
시스템은 자동화된 백그라운드 백업을 통해 복구 준비가 되어 있습니다. 백업하거나 복구하기 위해 AD 인스턴스를 오프라인으로 전환할 필요는 없습니다. 조직 단위, 사이트, 그룹, 사용자, 컴퓨터 등 모든 개체 유형을 복구할 수 있습니다. GPO(그룹 정책 개체), 개체 특성, 시스템 구성 등 모든 유형의 데이터를 복원할 수 있습니다.
장점:
- 제한된 리소스와 이전 AD 환경에서 실행할 수 있는 경량 도구
- 예약된 백업 및 도메인 컨트롤러의 중앙 집중식 관리 지원
- 사용자, OU, 서브넷 또는 사이트별로 정렬 및 필터링 가능 - 대규모 환경에 적합
단점:
- 사용자 인터페이스는 경쟁 도구에 비해 오래된 느낌입니다.
Active Directory용 Recovery Manager의 주요 문제점은 가격이 상대적으로 높다는 것입니다. 따라서 여러 위치에서 여러 AD 도메인 컨트롤러를 실행하는 조직에 가장 적합합니다. ㅏ 30일 무료 평가판 사용할 수 있습니다.
Active Directory 보안 그룹 FAQ
애플리케이션 보안 관점에서 Active Directory에서 Windows 그룹 정책이 중요한 이유는 무엇입니까?
그룹 정책을 사용하면 계정 관리를 중앙 집중화할 수 있으므로 보안 제어에 참여하는 사람의 수가 줄어듭니다. 사용자를 그룹화하여 모든 사용자 계정에 대해 즉시 글로벌 기업 보안 정책을 적용할 수 있습니다. 따라서 그룹 정책을 사용하면 사용자 계정 설정을 표준화하는 것이 더 빠릅니다.
Active Directory 보안 그룹이 메일을 사용할 수 있는지 어떻게 알 수 있나요?
유니버설 범위의 보안 그룹만 메일을 사용할 수 있습니다. 그룹의 속성을 보면 그룹이 메일을 사용할 수 있는지 여부를 확인할 수 있습니다. 그룹을 마우스 오른쪽 버튼으로 클릭하고 상황에 맞는 메뉴에서 속성을 선택합니다. 일반 탭을 열고 이메일 주소에 값이 있으면 그룹에서 메일을 사용할 수 있습니다.
Active Directory 보안 그룹 소유자를 변경하려면 어떻게 해야 합니까?
Azure Active Directory 보안 그룹에 대해 여러 소유자가 있을 수 있으므로 소유자를 바꾸려면 새 소유자를 추가한 다음 이전 소유자를 제거하면 됩니다. 소유자로 지정하려는 계정은 이미 그룹의 구성원입니다.
- 관리자 계정으로 Azure Portal에 로그인한 다음 Active Directory를 엽니다.
- 선택하다 여러 떼 그런 다음 소유자를 변경하려는 그룹을 클릭합니다.
- 그룹 개요 왼쪽의 메뉴 목록에서 소유자 .
- 클릭 소유자 추가 , 그러면 오버레이 패널이 열립니다.
- 소유자 추가 패널에서 승격하려는 사용자 계정을 검색하여 선택합니다. 다음을 클릭하세요. 선택하다 단추.
- 기본 그룹 페이지를 새로 고칩니다.
- 클릭 소유자 다시. 소유자 화면에서 제거하려는 소유자를 클릭합니다. 다음을 클릭하세요. 제거하다 화면 상단의 버튼을 클릭하세요.
- 클릭하여 제거를 확인하세요. 예 팝업 대화 상자에서.
Active Directory에서만 읽을 수 있는 보안 그룹은 무엇입니까?
구성원이 Active Directory를 읽을 수만 있고 변경할 수 없는 사전 생성된 사용자 그룹이 있습니다. 이것이 Windows 관리 센터 독자 그룹. 이 그룹에 사용자를 추가하기만 하면 됩니다.