Active Directory 환경에서 보안 감사 때문에 도메인의 administrator를 비활성화 하려고 하는데....
administrator (이하 admin 이라 칭하겠음) 비활성화 하고 사용자 계정 생성 후 (ID: test01)
test01로 D.C에 로그인 하려고 하니 안되서 test01 계정을 domain admins 그룹에 추가 했고
D.C 및 모든 도메인 액세스 됩니다.
질문 1. Admin 을 비활성화 했지만 실질적으로 domain admins 그룹에 속해 있는 계정을 사용 하는데
보안 감사 시 문제가 되지 않을까요.?
질문 2. builtin-administrator 와 domain admins 의 권한 차이를 알고 싶습니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
1개의 답변이 있습니다.
IT 감사 시에 administrator 계정 비활성화는 알려진 계정명이기 때문입니다.
누구나 알고 있는 계정이기에 패스워드만 해킹툴을 이용해서 유추할 수 있기때문입니다.
예를 드신 test01을 관리 계정으로 만들게 되면 적어도 test01이라는 계정 찾는
단계가 더 필요하기때문에 알려진 관리자 계정을 비활성화 하라는 것입니다.
따라서 위 내용을 근거로 관리자 계정을 만드실 때 관리자 계정을 좀 복잡하게
만드시는게 좋죠.
질문 1. Admin 을 비활성화 했지만 실질적으로 domain admins 그룹에 속해 있는 계정을 사용 하는데
보안 감사 시 문제가 되지 않을까요.?
-> AD를 운영하기 위해서는 관리자 계정이 무족건 필요합니다. 감사 시 문제되지 않습니다.
(패스워드도 복잡하게 하세요)
질문 2. builtin-administrator 와 domain admins 의 권한 차이를 알고 싶습니다.
-> 권한만 부여하기 차이는 없습니다.