SharedIT | 묻고 답하기(AMP)

사내 소프트웨어 자동 배포툴 / 유저 Admin 권한 관련 문의

안녕하세요

질문 두가지가 있습니다.. 여러분의 의견 공유 부탁드립니다.

1. 
현재 약 150명정도 직원이 있는 회사 전산에서 일하는 사람입니다.

사내 시스템 변경이 잦아 자주 PC 환경을 바꿔야 하는 경우가 잦습니다

그럴때마다 150명에게 직접 가서 소프트웨어를 설치해주거나

공지를 통해 어디 네트워크 드라이브에 있는 파일을 설치하라고 합니다.

사실 이런식으로 일을 하면 100% 모든 인원에게 적용하는데 한계가 있습니다.

유지보수 관점에서 보면 최악이라고 생각하는데.. 혹시 여러분이 사용하시는 방법이나 툴이 있다면

조언 부탁드립니다.

2. 
얼마전 모든 유저 admin 권한을 삭제했습니다(GP배포가 아닌 local PC에서 삭제 했습니다)

이후 새로운 소프트웨어설치 / pc환경 변경하려면

유저계정에서 로그오프, localadmin계정으로 접속하여 설치진행했습니다.

그리고 뭔가 GP변경 후 배포해도 유저PC에 적용이 안되는 것 같아 일단 팀에 문제를 제기해놓은 상태입니다;

유저 admin 권한삭제와 관련하여 어떤식으로 유지보수하시는지 경험있으신분 꼐신가요?

제가 구글링해본 결과는

admin권한삭제의 단점
-> GP 업데이트 안됨, 매번 localadmin으로 들어가서 일처리 해야함

amdin권한삭제해야하는 이유
-> 유저가 네트워크를 역으로 타고들어와서 해킹한다(?) 구글링한 결과라 잘 모르겠네요

admin권한삭제 후 유지보수 방법..


감사합니다!!

 
Tags : 태그가 없습니다.

8개의 답변이 있습니다.

가짜MS전문가
  0 추천 | 약 5년 전
질문자님 질문을 보면 GP(GPO:Group Policy Object)를 배포했다고 하는것을 보면 이미 Active Directory를 사용중이신것 같습니다.
로컬 PC의 administrators 그룹에는 이미 Domain Admins의 권한이 있겠네요.(혹시 Domain Admins 권한도 제거하신건 아니시지요?^^;;)
PC의 중앙관리는 Active Directorty가 효율적이구요. 로컬 admin그룹에 반드시 Domain admins 권한이 포함되어야 합니다.
Active Directory의 GPO를 이용해서 소프트웨어 배포도 되긴 하지만, 이 또한 매우 비효율적이구요.
저희 회사 같은 경우는 관리자가 임의로 PC에 원격으로 SW를 설치하는 걸 매우 싫어하기도 합니다.
그래서, 파일서버를 구축하고, GPO의 로그온스크립트를 적용해서 해당 파일서버를 네트워크드라이브로 자동연결해두었습니다.
결국 PC에 연결되어있는 네트워크드라이브에서 SW설치파일을 클릭해서 설치하도록 유도했구요. 윗분들 말씀처럼 SCCM를 통해서 주기적 자동배포도 가능한 시나리오이지만, 라이선스(비용)이 필요하겠죠.
(저희는 현재 별도 자산관리 솔루션을 이용해서 배포하고 있습니다.)

로컬 admin 그룹에서 User 권한을 제외하는 이유가 크리티컬한 사유가 아니라면 제거하지 않는것을 추천합니다.
부득이하게 제거해야한다면 이 또한 AD의 제어위임이나 로그온스크립트로 ACL툴 이용해서 SW설치만 가능하도록 설정도 가능합니다.

저희도 ISMS 인증 심사 대상이고 주기적으로 심사를 받고 통과하지만 로컬어드민 권한을 제거하라는 부분은 이야기 듣지 못했습니다~

참고하세요~
 
낭만생선
  0 추천 | 약 5년 전
아랫분들이 주신 의견에 중복된 의견입니다만..

1. AD가 급선무..
 - 그룹정책 이런거 안쓴다고 해도, 일단 고민하시는 계정 부분만 쉽게 해결됩니다.
   도메인 관리자 계정으로 접근 하시면 되거든요.

2. 프로그램 배포
 - 150대라고 하더라도 직접 가서 설치하는건 너무 비효율적이네요.
   최소한 원격으로 접속하셔서 작업하시는게 절반은 일이 줄어들것 같아요.

3. 기타
 - Admin 권한을 삭제 하신 이유가 납득이 안되네요.. 
   작업하신게 해당 PC 사용자 계정의 권한을 Admin에서 빼신거잖아요.
   그건 그냥 그 PC의 Admin 권한만 빼신거기 때문에
   다른곳에 해킹하는것과는 전혀 무관합니다.
   해당 PC에 대한 Admin 권한인거지, 다른 해킹하려는곳의 Admin 권한은 아니거든요.
   그 PC의 사용자가 그 PC를 해킹하는걸 막으려고 하신건 아닐테니깐요.
   
  저희는 AD 환경이고
  AD User를 PC의 사용자 계정으로 사용합니다.
  한때 이 계정을 PC의 Local Admin 에서 뺄까 고민한적이 있습니다.
  (이렇게 빼더라도 기본적으로 도메인 Admin 계정이 이 PC에 Admin 그룹에 있기 때문에 관리하는데는 무리가 없습니다.)
그 때 고민한 이유는.. 사용자들의 불법 S/W 사용&설치를 막기 위함이었죠.
그런데.. 우리나라 환경이란게  Active X라는게 있어서
 사용자 계정이 Admin 계정이 없으면 안되는게 너무 많더라구요.
계획하고 실행하기 바로 전날 취소를 했는데.. 그때 실행 했으면 난리 날뻔했네요.
빼는건 그룹정책으로 가능하지만.. 빼고나면.. 다시 넣는건 일일이 수동으로 해야 하거든요.

똑같은 얘기 반복이지만.. 정리하면..
1. AD를 도입 하세요.(쉽습니다.)
2. 사용자 계정은 다시 Admin 그룹으로 넣으셔도 됩니다.(말씀하신 이유라면..)
양성환
  0 추천 | 약 5년 전
1순위는 AD 가 급선무네요

 
wansoo
  0 추천 | 약 5년 전
NAC ( Network Access Control ) 솔루션이나 PC보안, 백신 등에 포함된 기능을 이용해 자동 배포하는 방법도 있을 것 같기도 하고요~
원격제어로 접속해서 처리해 주는 것도 직접 가서 작업하는 것보다는 시간을 많이 줄일 수 있을 것 같고, 효율적이라 생각되고요.

원격제어로는 윈도에 기본적으로 포함되어 있는 원격 데스크탑을 이용하거나 VNC 등을 이용하면 되겠고요.

일반적으로 PC를 한번 셋팅해 주고 나면 변경될일이 그렇게 많지 않은데...
전체 PC들에 대한 소프트웨어를 자주 설치해 줘야하는 업무 환경이 특이하게 느껴지네요~
werther.chan
  0 추천 | 약 5년 전
개인PC별 admin권한을 삭제하면.. 그 많은 사용자들을 어떻게 처리하시는지요?.. 관리가 되시는가요?.. 그것이 과연 관리Loss보다 효과가 좋은지 생각해보심이 좋을것 같습니다.
AD도입을 추천해드립니다.
저희는 자산관리솔루션을 이용해서 하고 있는데 뭐 이것도 100%라고 보여지긴 힘드네요.
배포하고 설치하라고 얘기하고 또 찾아가서 확인하고...ㅠ.ㅠ
한그루
  0 추천 | 약 5년 전
1. PC 관리툴을 도입하면 아주 좋겠지만 무료로 할 수 있는 방법으로 사용했었거나, 사용하고 있는 방법으로
 - AD 로그인때 실행되는 배치에 설치 화일이 실행되는 경로를 넣고 로그인 될때 강제로 실행되게 합니다.
 - 화일 서버에 설치 화일 넣고 이메일로 설치화일이 바로 실행 될 수 있는 링크를 이메일에 첨부해서 발송합니다.
 - SCCM 을 통해 배포 합니다.   

2. Admin 권한을 빼는것이 보안이나 PC 관리 측면에서 안정성이 높아집니다. 하지만 관리가자 매우 불편하죠. 
 - GP 배포는 매우 잘 되었습니다. 
 - 로그오프 하지 않고 Run As (다른 계정으로 실행) 로 관리자 계정으로 설치 해드렸습니다.
 - 초반에 한도안 매우 귀찮고 힘들었는데 정착되고 나면서 조금씩 수월해 졌습니다. 그렇지만 관리자, 사용자 모두 여전히 불편함이 남아 있었죠. 
 
Maintenance
  0 추천 | 약 5년 전
1. 백신을 이용한 배포로 하고 있습니다. 배포 및 설치까지 진행 가능합니다. (ASM)

2. AD(Active Directory) 도입 검토 해보심이...
danis78
  0 추천 | 약 5년 전 | 제이컴즈 | 010-2871-8756
저희 회사가 iso27001 갱신 심사를 매년 받고 있는데 그때마다 심사관들이 
로컬 어드민 권한에 대해서 한번도 문제 제기를 한 적이 없었는데요?

본문에서 말씀하신대로 로컬 어드민 권한이 빠지면 당연히 프로그램 설치에 애로 사항이 있겠죠.
그래서 공용 피씨 같이 특수한 업무 목적으로 사용하는 곳이 아닌 이상 로컬 어드민을 빼면
업무하기 많이 힘들지 않을까 싶네요 

더욱이 개인 피씨들은 사내 업무들도 하겠지만 조금씩 개인 업무들도 하기에 (은행 사이트 등등)
로컬 어드민이 빠져 버리면 은행 보안 프로그램들도 설치 및 업데이트가 안되겠죠. 
그리고 유저가 네트워크로 해킹 한다 라는 건 다른 사람 피씨에 로컬 어드민 패스워드를
알고 있을 경우 가능한 거 아닌가요?