[문의내용]
AD에서 컴퓨터 계정은 꼭 필요한가요???
컴퓨터 계정을 AD에 등록하고자 합니다.
컴퓨터 계정을 등록하고자 한다면 어떻게 해야 하나요.
[해결방법]
Computer Account 관련 프로세스 정리
1. Computer Account 추가 프로세스 정리
Windows 2003 Domain 환경에 가입을 하면 자동으로 AD Users and Computers Computers 위치에 자동으로 컴퓨터 계정이 생성되게 됩니다.
또한 로컬 사용자 컴퓨터의 Administrators 그룹에 자동으로 Domain Admins그룹이 자동으로 추가됩니다.
이때 도메인에 참여한 컴퓨터 계정과 도메인 사이에는 Password를 자동으로 설정하게 되고 이는 30일 간격으로 컴퓨터의 GUID를 확인하여 바꾸게 됩니다.
by default 30 days,can be changed by group policy or registry edit
만약 30일 이전에 백업 받은 데이터를 복원 했다면 컴퓨터 계정 패스워드가 바뀌어 도메인에 연결을 못하는 경우가 나올 수 있습니다.
즉 도메인 참여를 하는 행위는 크게 2가지 역할을 하게 되는데 1가지의 경우가 도메인과의 보안채널을 형성하는 것이며 나머지 한가지의 경우가 local Computer의 도메인 관리자가 원격에서 관리할 수 있는 권한을 부여하는 행위라고 할 수 있습니다.
2. Computer Account 추가 방법 설명
1) 클라이언트 컴퓨터를 도메인 참여 함
2) Active Directory Users and Computers 도구를 이용하여 추가 할 수 있습니다.
http://www.support.microsoft.com/kb/320187/ko
3) dsadd 명령어를 기반으로 추가 할 수 있습니다.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/8d37ecb0-ac28-4e05-aa05-da82dc36b54b.mspx
4) VBScript를 이용하여 추가 할 수 있습니다.
클라이언트 컴퓨터를 도메인에 만드는 방법 http://www.microsoft.com/technet/scriptcenter/scripts/ad/computer/cptrvb01.mspx
클라이언트 컴퓨터를 도메인에 Join하는 소스
http://www.microsoft.com/technet/scriptcenter/scripts/ad/computer/cptrvb06.mspx
3. Computer Account 삭제 시 되살리는 방법
Active Directory에서 Account가 삭제 되었을 경우 살리는 방법
http://support.microsoft.com/default.aspx?scid=kb;en-us;216498
위의 방법 등을 이용하여 컴퓨터 계정을 만들고 관리 할 수 있습니다.
문제는 위의 설명에서도 언급했듯이 컴퓨터 계정은 단순히 컴퓨터 계정을 만드는 것만이 문제가 되는 것이 아니라 보안 채널 형성 및 클라이언트 컴퓨터의 관리에 대한 역할 설정이 들어가 있습니다.
단순히 컴퓨터 계정만을 만드실 목적이라면 위에 언급한 2.번 방법의 2),3),4) 등의 방법을 이용 하시면 됩니다.
그러나 컴퓨터 계정을 임의 적으로 만들게 되면 현재 클라이언트 컴퓨터와의 보안 채널이 형성이 되지 않아 문제가 되는 현상이 발생하고 있습니다.
클라이언트 컴퓨터의 정보를 확인하기 위해서 컴퓨터 계정을 만드는 시점에 강제적으로 GUID를 입력하여 넣을 수 있습니다.
컴퓨터 계정을 만들면서 GUID를 넣는 방법은 아래와 같습니다.
이와 같이 입력하면 됩니다.
그러나 현실적으로 클라이언트 컴퓨터와 도메인 사이에 보안 채널 형성은 다소 시간이 걸리며 재대로 보안 채널이 형성이 되지 않는 경우도 나오고 있습니다.
권장 사항은 클라이언트의 컴퓨터를 직접 도메인에 참여 시키면 이러한 문제가 발생하지 않습니다.
아니면 클라이언트 컴퓨터를 도메인에 Join하는 소스 방법을 이용하시는 것이 하나의 방법이 될 수 있습니다.
[출처] 컴퓨터 계정 도메인에 등록하는 방법|작성자 이완주
댓글