Service 동작을 위해 서비스 계정을 만들어 관리하였으나 서비스에 계정이 등록되어 해킹되는 사례가 발생하여 이를 보안하기 위해 Windows Server 2012 AD 환경에서는 gMSA 계정을 생성하여 서비스를 위한 전용 계정을 만들어 계정에 대한 보안 강화를 설정할 수 있습니다.
Getting Started with Group Managed Service Accounts
작업 절차
DC에서 아래와 같이 작업합니다.
#DC에서 키 생성
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
# 서비스 계정 생성
# -Name 서비스 계정 이름,
# -DNSHostName DC의 FQDN,
# -PrincipalsAllowedToRetrieveManagedPassword 서비스가 적용될 서버이름$
New-ADServiceAccount -Name SRVADMTAccount -DNSHostName gsad01.gsoft.local -PrincipalsAllowedToRetrieveManagedPassword gsad01$
# 대상 서버를 추가할 수 있음
Set-ADServiceAccount -Identity SRVADMTAccount -PrincipalsAllowedToRetrieveManagedPassword gsad01$,gsad02$
# 대상 서버를 추가할 수 있음
# Active Directory 관리 센터에서 생성된 계정을 확인 할 수 있습니다.
대상 서버에서 아래와 같이 작업합니다.
#대상 컴퓨터가 DC가 아니고 원격관리도구가 설치되지 않는 경우 아래의 명령어를 실행하여 설치합니다.
Install-WindowsFeature rsat
#대상 컴퓨터에서 서비스 계정 설치
Install-ADServiceAccount -Identity SRVADMTAccount
#대상 서비스 계정 확인
Test-ADServiceAccount -Identity SRVADMTAccount
서비스 계정 사용
댓글