엔터프라이즈 관리 안내서PUPM 구현 계획구현 고려 사항 › Active Directory 끝점을 관리하기 위한 최소 권한

이전 항목: Windows Agentless 끝점의 도메인 사용자에 대한 제한 사항

다음 항목: PUPM SDK

Active Directory 끝점을 관리하기 위한 최소 권한

Windows에 해당

Active Directory를 관리하기 위해 PUPM Windows Agentless 끝점을 사용하려고 하지만 도메인 관리자 계정을 지정하고 싶지 않은 경우 일반 사용자 계정을 관리하는 데 필요한 최소 권한을 갖는 위임된 사용자를 지정할 수 있습니다.

예: Active Directory 사용자에게 Windows Server 2008에서 다른 Active Directory 사용자를 관리하는 권한 위임

다음 예는 Windows Server 2008에서 다른 일반 Active Directory 사용자를 관리하기 위해 일반 사용자에 대해 권한을 위임하는 방법을 설명합니다.

  1. "시작", "관리 도구", "구성 요소 서비스"를 선택합니다.

    "구성 요소 서비스" 콘솔이 열립니다.

  2. "구성 요소 서비스" 목록을 확장하고 "컴퓨터"를 선택한 다음 "내 컴퓨터"를 마우스 오른쪽 단추로 클릭하고 "속성"을 선택합니다.

    "내 컴퓨터" 속성 창이 열립니다.

  3. "COM 보안" 탭으로 이동하여 다음을 수행합니다.
    1. "액세스 권한" 섹션에서 "기본값 편집"을 클릭합니다.
    2. "추가"를 클릭하여 액세스 권한을 할당할 사용자 계정을 찾습니다.
    3. "시작 및 활성화 권한" 섹션에서 "기본값 편집"을 선택합니다.
    4. "추가"를 클릭하여 액세스 권한을 할당할 사용자 계정을 찾습니다.
    5. "허용" 열 아래에서 "로컬 액세스"와 "원격 액세스" 및 "로컬 활성화"와 "원격 활성화" 옵션을 선택합니다.
    6. "확인"을 클릭하고 속성 창을 종료합니다.
  4. "시작", "관리 도구", "Active Directory 사용자 및 컴퓨터"를 차례로 선택합니다. 다음 작업을 수행하십시오.
    1. "사용자" 목록에서 사용자 계정을 마우스 오른쪽 단추로 클릭합니다.
    2. "소속 그룹" 탭으로 이동한 다음 "그룹에 추가"를 선택합니다.
    3. 사용자를 다음 그룹의 구성원으로 추가한 다음 "확인"을 클릭합니다.
      • Domain Users
      • Distributed COM Users

    위임된 사용자에 대한 보안 특성을 구성했습니다. 이제 이 사용자가 관리할 컨테이너의 보안 특성을 구성합니다.

  5. "Active Directory 사용자 및 그룹" 콘솔에서 "사용자" 폴더를 마우스 오른쪽 단추로 클릭한 다음 "속성"을 선택합니다.
  6. "보안" 탭으로 이동한 다음 "사용자 추가"를 선택하고 "고급"을 클릭합니다.

    고급 보안 설정 창이 열립니다. 다음 작업을 수행하십시오.

    1. "권한" 탭에서 사용자를 선택하고 "편집"을 클릭합니다.

      권한 항목 창이 열립니다.

    2. "적용 대상" 목록에서 "하위 사용자 개체"를 선택하고 다음 권한을 적용합니다.
      • 내용 보기
      • 모든 속성 읽기
      • 모든 속성 쓰기
      • 권한 읽기
      • 권한 수정
      • 암호 변경
      • 암호 다시 설정
    3. "확인"을 클릭하고 속성 창을 종료합니다.

    "사용자" 컨테이너의 사용자에 대한 보안 특성을 구성했습니다.

  7. "명령 프롬프트" 창에서 wmimgmt 명령을 실행하여 WMI 컨트롤 콘솔을 엽니다. 다음 작업을 수행하십시오.
    1. "WMI 컨트롤"을 마우스 오른쪽 단추로 클릭한 다음 "속성"을 선택합니다.

      WMI 컨트롤 속성 창이 열립니다.

    2. "보안" 탭으로 이동하여 루트 디렉터리를 확장합니다.
    3. 디렉터리를 선택한 다음 "보안" 단추를 클릭합니다.
    4. "추가"를 클릭하여 편집할 사용자 계정을 추가한 다음 루트 네임스페이스와 하위 네임스페이스에 대해 다음 권한을 추가합니다.
      • 일부 쓰기
      • 공급자 쓰기
      • 계정 사용
      • 원격으로부터 사용 가능
    5. WMI 컨트롤 콘솔을 닫습니다.
  8. "명령 프롬프트" 창에서 regedit 유틸리티를 실행하고 다음 레지스트리 항목을 찾습니다. 
    HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

    HKEY_CLASSES_ROOT\CLSID\{233664b0-0367-11cf-abc4-02608c9e7553}
  9. 각 레지스트리 키를 마우스 오른쪽 단추로 클릭한 다음 "사용 권한"을 선택합니다.

    사용 권한 창이 열립니다.

  10. 사용자를 목록에 추가하고 해당 키와 자식 개체에 "모든 권한"을 할당합니다.
  11. "확인"을 클릭하여 regedit 유틸리티를 닫습니다.

    일반 Active Directory 사용자에게 다른 일반 Active Directory 사용자를 관리하는 권한을 위임했습니다.

고급 CA Access Control와 PUPM 통합 제한

고급 CA Access Control와 PUPM 통합(터미널 통합)을 사용하면 권한 있는 계정으로 사용하여 CA Access Control 끝점에 로그온하는 사용자의 원래 사용자 이름을 추적할 수 있습니다.

사용자들이 자동 로그인을 사용하여 CA Access Control 엔터프라이즈 관리에서 권한 있는 계정을 체크 아웃하는 경우에만 고급 CA Access Control와 PUPM 통합을 사용할 수 있습니다.