이전 항목: Windows Agentless 끝점의 도메인 사용자에 대한 제한 사항

다음 항목: 고급 CA ControlMinder와 SAM 통합 제한

엔터프라이즈 관리 안내서SAM 구현 계획구현 고려 사항Active Directory 끝점을 관리하기 위한 최소 권한

Active Directory 끝점을 관리하기 위한 최소 권한

Windows에 해당

Active Directory를 관리하기 위해 SAM Windows Agentless 끝점을 사용하려고 하지만 도메인 관리자 계정을 지정하고 싶지 않은 경우 일반 사용자 계정을 관리하는 데 필요한 최소 권한을 갖는 위임된 사용자를 지정할 수 있습니다.

예: Active Directory 사용자에게 Windows Server 2008에서 다른 Active Directory 사용자를 관리하는 권한 위임

다음 예는 Windows Server 2008에서 다른 일반 Active Directory 사용자를 관리하기 위해 일반 사용자에 대해 권한을 위임하는 방법을 설명합니다.

  1. "시작", "관리 도구", "구성 요소 서비스"를 선택합니다.

    "구성 요소 서비스" 콘솔이 열립니다.

  2. "구성 요소 서비스" 목록을 확장하고 "컴퓨터"를 선택한 다음 "내 컴퓨터"를 마우스 오른쪽 단추로 클릭하고 "속성"을 선택합니다.

    "내 컴퓨터" 속성 창이 열립니다.

  3. "COM 보안" 탭으로 이동하여 다음을 수행합니다.
    1. "액세스 권한" 섹션에서 "기본값 편집"을 클릭합니다.
    2. "추가"를 클릭하여 액세스 권한을 할당할 사용자 계정을 찾습니다.
    3. "시작 및 활성화 권한" 섹션에서 "기본값 편집"을 선택합니다.
    4. "추가"를 클릭하여 액세스 권한을 할당할 사용자 계정을 찾습니다.
    5. "허용" 열 아래에서 "로컬 액세스"와 "원격 액세스" 및 "로컬 활성화"와 "원격 활성화" 옵션을 선택합니다.
    6. "확인"을 클릭하고 속성 창을 종료합니다.
  4. "시작", "관리 도구", "Active Directory 사용자 및 컴퓨터"를 차례로 선택합니다. 다음 작업을 수행하십시오.
    1. "사용자" 목록에서 사용자 계정을 마우스 오른쪽 단추로 클릭합니다.
    2. "소속 그룹" 탭으로 이동한 다음 "그룹에 추가"를 선택합니다.
    3. 사용자를 다음 그룹의 구성원으로 추가한 다음 "확인"을 클릭합니다.
      • Domain Users
      • Distributed COM Users

    위임된 사용자에 대한 보안 특성을 구성했습니다. 이제 이 사용자가 관리할 컨테이너의 보안 특성을 구성합니다.

  5. "Active Directory 사용자 및 그룹" 콘솔에서 "사용자" 폴더를 마우스 오른쪽 단추로 클릭한 다음 "속성"을 선택합니다.
  6. "보안" 탭으로 이동한 다음 "사용자 추가"를 선택하고 "고급"을 클릭합니다.

    고급 보안 설정 창이 열립니다. 다음 작업을 수행하십시오.

    1. "권한" 탭에서 사용자를 선택하고 "편집"을 클릭합니다.

      권한 항목 창이 열립니다.

    2. "적용 대상" 목록에서 "하위 사용자 개체"를 선택하고 다음 권한을 적용합니다.
      • 내용 보기
      • 모든 속성 읽기
      • 모든 속성 쓰기
      • 권한 읽기
      • 권한 수정
      • 암호 변경
      • 암호 다시 설정
    3. "확인"을 클릭하고 속성 창을 종료합니다.

    "사용자" 컨테이너의 사용자에 대한 보안 특성을 구성했습니다.

  7. "명령 프롬프트" 창에서 wmimgmt 명령을 실행하여 WMI 컨트롤 콘솔을 엽니다. 다음 작업을 수행하십시오.
    1. "WMI 컨트롤"을 마우스 오른쪽 단추로 클릭한 다음 "속성"을 선택합니다.

      WMI 컨트롤 속성 창이 열립니다.

    2. "보안" 탭으로 이동하여 루트 디렉터리를 확장합니다.
    3. 디렉터리를 선택한 다음 "보안" 단추를 클릭합니다.
    4. "추가"를 클릭하여 편집할 사용자 계정을 추가한 다음 루트 네임스페이스와 하위 네임스페이스에 대해 다음 권한을 추가합니다.
      • 일부 쓰기
      • 공급자 쓰기
      • 계정 사용
      • 원격으로부터 사용 가능
    5. WMI 컨트롤 콘솔을 닫습니다.
  8. "명령 프롬프트" 창에서 regedit 유틸리티를 실행하고 다음 레지스트리 항목을 찾습니다. 
    HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

    HKEY_CLASSES_ROOT\CLSID\{233664b0-0367-11cf-abc4-02608c9e7553}
  9. 각 레지스트리 키를 마우스 오른쪽 단추로 클릭한 다음 "사용 권한"을 선택합니다.

    사용 권한 창이 열립니다.

  10. 사용자를 목록에 추가하고 해당 키와 자식 개체에 "모든 권한"을 할당합니다.
  11. "확인"을 클릭하여 regedit 유틸리티를 닫습니다.

    일반 Active Directory 사용자에게 다른 일반 Active Directory 사용자를 관리하는 권한을 위임했습니다.