Windows Server 사용자 계정 생성 및 권한 관리

Administrator 계정을 사용자 계정으로 사용하는 것은 굉장히 위험한 행위 입니다. 리눅스에서 root 계정으로 원격접속을 허용하는 것과 같은 행위 입니다.

 

저희 사는 서비스 운영 계정, 개발자 계정, 서비스 운영자 계정 나누어 관리를 하고 있습니다. 따라서 Administrator의 계정은 비활성화하여 사용하지 않으며, 각 담당자별로 역할에 맞는 적절한 권한을 부여합니다.

 

Windows Server 계정 생성

GUI를 이용하여 손쉽게 사용자 계정을 생성하고 관리 및 권한을 부여할 수 있습니다. 

 

win + r 입력 > netplwiz 입력 후 실행 

 

고급 > 고급사용자 관리의 고급 클릭

현재 서버의 사용자와 그룹을 간편하게 관리할 수 있습니다.

 

사용자 탭으로 이동하여 새 사용자를 생성합니다.

시스템 운영자, 개발자, 어플리케이션 계정 총 세 개의 사용자 계정을 생성합니다.

 

 

사용자 계정 원격 접속 권한 부여

새 사용자를 생성하면 기본적으로 users 그룹에 소속됩니다. 

 

그러나 users 그룹은 원격접속에 대한 권한이 없는 그룹입니다. 해당 사용자에게 원격접속 권한을 부여하고 싶다면 사용자를 Remote Desktop Users 그룹에 추가해야 합니다. 아래와 같이 입력 후 확인을 누르면 소속 그룹에 Remote Desktop Users 그룹이 추가된 것을 확인할 수 있습니다.

 

실제로 해당 유저로 원격 접속이 가능한 것을 확인할 수 있습니다. 원격 접속 후 아래의 명령을 이용해 현재 세션 사용자 및 사용자가 속한 그룹을 확인할 수 있습니다.

whoami  ## 현재 사용자 확인

whoami /groups ## 현재 사용쟈가 속한 그룹 확인 명령어

 

Built In 그룹 권한 확인

Windows Server를 설치하면 기본적으로 아래와 같은 그룹들이 Built In으로 생성됩니다.

 

각 그룹에 대한 설명은 기재되어 있지만 어떤 권한을 갖는지 자세한 정보는 확인이 불가능합니다. 해당 내용은 로컬 그룹 정책에서 확인할 수 있습니다.

 

win + r > secpol.msc를 실행

 

로컬 계정 > 사용자 권한 할당

권한별로 어떤 사용자 혹은 그룹에 권한이 부여되어 있는지 확인할 수 있습니다.

 

따라서 기존에 존재하는 그룹을 사용하는 것이 아닌 원하는 권한을 갖는 새로운 그룹을 생성하여 그룹 정책을 관리할 수 있습니다.

 

Active Directory

만약 서버 대수가 소량이라면 위와 같은 방식으로 모든 서버에 들어가서 사용자 생성 및 그룹 정책을 관리할 수 있겠지만 서버의 대수가 100대 이상이라면 모든 서버에 직접 들어가 해당 설정을 해주는 것은 불가능할 것입니다. 

Active Directory는 위와 같은 설정을 중앙에서 통제하여 AD에 가입된 모든 서버 혹은 PC에 일괄적으로 정책을 배포할 수 있습니다. 다음 포스텡에선 AD의 개념과 구성 방법에 대해 알아보겠습니다.