작은 회사에서 4-5명의 직원만이 사용하는 네트워크 관리자라면 각 유저들의 권한을 관리하기가 수월하다.
반면에 수백명의 직원과 수백개의 컴퓨터를 모두 컨트롤 해야 한다면?
이런 문제를 해결하기 위해 사용하는 것이 윈도우 도메인 Windows domain 이다.
윈도우 도메인은 유저와 컴퓨터를 비즈니스의 어드민아래 그룹으로 묶어놓은 개념인데,
액티브 디렉토리 Active directory라고 불리는 하나의 저장소에 네트워크의 컴포넌트 통제를 중앙화하는 것이 핵심이다.
그리고 AD를 가동되는 서버는 도메인 컨트롤러 Domain Controller라고 한다.
이런 구조의 가장 장점은
1. 네트워크 내의 유저들을 중앙 AD에서 쉽게 관리할 수 있다는것
2. AD에서 보안정책 policies들을 바로 확인해서 유저와 각 pc에 적용할 수 있다는 것이다
Active Directory Domain Service
AD DS는 네트워크에 있는 모든 객체 정보를 가지고 있는 카탈로그 서비스 개념이다. 어떤 객체들이 있는지 살펴보자
| Users | AD에서 가장 흔한 객체 타입으로, Security principals 로도 불린다. Users 중에서도 people, services 두 가지로 분류할 수 있다. |
| Machines | AD 도메인에 들어오는 컴퓨터마다 machine 객체가 생성된다. 머신 계정은 할당된 컴퓨터에서 로컬 어드민이고 자체 pc, 혹은 패스워드가 있다면 다른 계정에서도 액세스 가능 ex) machine 이름이 DC01이면 machine account는 DC01$ |
| Security Groups | 단일 유저에게 액세스 권한을 부여하기 보다는 그룹 단위로 부여함. 그룹에서 머신과 유저 혹은 다른 그룹을 멤버로 가질 수 있음 |
이외에도 디폴트 security groups 이 더 있음
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups
Active Directory security groups
Learn about Windows Server Active Directory security groups, group scope, and group functions.
learn.microsoft.com
일단 Tryhackme에서 제공하는 가상머신에 접속하기 위해서 RDP로 연결하고 어드민으로 로그인한다
일단 VPN 먼저 연결하고 rdp에 들어가자
이렇게 연결을 성공하고 나면 Active directory에서 유저, 그룹, 머신을 구성하기 위해서
Domain Controller 들어가기 → Active Directory Users and Computers에 들어가면 된다
Organizational Units에서 유저와 머신들을 분류할 수 있는 객체 컨테이너 개념이다. 비슷한 정책 요구사항을 가진 유저끼리 묶음.
Security Groups과 OUs의 차이는?
OUs는 유저와 컴퓨터에 정책 적용을 주요 목적으로, 한 유저는 동시에 두개의 정책에 적용될 수 없으므로 한 OU 멤버여야 함
Security Groups은 리소스에 권한을 부여하기 위한 것이다. 한 유저는 여러 그룹 소속일 수 있고 여러 리소스에 권한이 다를 수 있음
AD에서 유저 관리하기
회사 조직에서 예산 문제로 한 부서가 없어질 예정이고 도메인에서도 삭제해야 하는 상황을 가정해보자. 우클릭으로 OU 삭제를 시도하면 에러 메시지가 뜬다.
You do not have sufficient privilleges to delete ~~ or this object is protected from accidental deletion.
실수로 지우는 것을 방지하기 위해 보호되어 있으니, advanced features에 들어가서 Object\Protect object from accidental deletion 체크박스를 해제하면 된다.
그리고 Delegation이라는 기능이 있는데, 도메인 어드민에서 거치는 과정없이 AD의 특정 유저에게 다른 OU에 대힌 통제 권한을 부여할 수 있다는 것이다.
가장 흔한 예시로는 IT Support, 전산팀에게 낮은 권한을 가진 유저의 패스워드를 리셋할 권한을 주는식이다. Sales 부서에 대한 권한은 Phillip에게 전달해보자
Delegate Control을 선택하면 됨. + 이름 입력하고 Check names 버튼을 눌러서 확인하는게 좋다
어떤 권한을 부여할건지 선택할 수 있다
지금은 패스워드를 리셋할 권한을 선택함
이런 과정을 거치고 나면 필립이 세일즈 부서의 다른 유저들의 패스워드를 리셋할 권한이 생긴다.
Set-ADAccountPassword sophie -Reset -NewPassword (Read-Host -AsSecureString -Prompt 'New Password') -VerboseSet-ADUser -ChangePasswordAtLogon $true -Identity sophie -Verbose
이렇게 소피 계정으로 접속할 수 있게되었음
AD에서 컴퓨터 관리하기
도메인에 들어오는 모든 머신들은 Computers 컨테이너에 들어가게 된다. 한 군데에 모든 디바이스를 모아놓으면 각 서버나 머신을 위한 다른 정책을 적용하기 어렵기 때문에 용도에 따라 디바이스를 분리하는게 좋다고 한다. 주로 다음의 3가지의 카테고리로 나눔
1. Workstations
AD 도메인에서 가장 흔한 디바이스이고, 도메인의 각 유저는 워크스테이션에 로그인된다. 브라우징같은 일상적인 활동을 위한 용도
2. Servers
유저나 다른 서버에 서비스를 제공하기 위한 용도
3. Domain Controllers
해시 암호화가 된 패스워드를 포함하여 네트워크 내에서 가장 민감한 디바이스로 분류된다.
일단 Workstations, Servers 두 가지로 OU를 만들어보자
tcm.local 도메인 컨테이너 하위에 만들거임
개인 PC나 랩탑은 workstations OU, 서버는 컴퓨터 컨테이너에서 Serveres OU로 옮기면
→ 각각 OU의 보안 정책을 효과적으로 파악할 수 있음!
다음에는 그룹 정책과 인증 방법등에 대해 알아보자~!
'사이버보안' 카테고리의 다른 글
| 국민연금공단 일경험 인턴 3개월을 마치고 느낀 점 (3) | 2025.08.20 |
|---|---|
| Active Directory Basics - 그룹 정책, 인증 방법,Trees/Forests/Trusts (3) | 2025.06.24 |
| CyberChef - 인코딩,디코딩, 복호화 툴 사용과 실습 (0) | 2025.03.25 |
| MITRE ATT&CK 프레임워크 Matrix, Cyber Kill Chain 사이버킬체인 (0) | 2025.03.23 |
| [Tryhackme] OpenVPN - CTF 문제 풀이를 위한 VPN 연결 (0) | 2025.03.21 |