SharedIT | 묻고 답하기(AMP)

Active Directory 기능구현 관련 질문 있습니다.

안녕하세요. 


현재 Active directory 도입중인 IT 직원입니다.

구현하고 싶은 기능 중 문제가 있는 부분은

어드민 권한으로 실행해야 작동하는 프로그램 (ex. Doecker, OpenVPN 등등) 은

일반 유저가 Run as administrator 로 실행시 당연히 어드민 계정을 요구합니다.

일반 유저에게도 Run as administrator 로 실행하게 하려면 

그룹정책 부분을 수정해야하는지 아님 다른 방법이 있는지

공유 부탁드리겠습니다.


감사합니다.

Tags : 태그가 없습니다.

4개의 답변이 있습니다.

jhjeon@tdgl.co.kr
  0 추천 | 2년 이상 전

안녕하세요. 로컬PC를 어드민 권한이 아닌 일반 유저 권한으로 내려서 사용하고 있는 거 같네요. 일반 유저 권한으로 사용하면 보안 관점에서는 좋을 수 있으나.....어드민 권한을 필요로 하는 SW 설치/실행/삭제도 할 수 없게 되지요. 

해서 국내에서 일명 "권한상승" 솔루션 이라고 있습니다. 

  • 권한상승 솔루션? 일반 유저 권한에시도 IT운영자가 허가 한 SW에 한해서 설치/실행이 가능하게 함

프로티앤에스는 Active Directory (AD) 분야에 약 20년 된 기술/솔루션 개발사 입니다. 

편하게 쪽지 주시면 안내해 드릴게요.

wansoo
  0 추천 | 2년 이상 전

Docker나 OpenVPN 등의 시스템 관련된 서비스는 Administrator 계정으로 실행시키는게 맞지 않을까요?

일반 User 계정에서 시스템 관련된 명령을 실행시키는게 잘못된 거라 생각되네요.


특별히 일반 유저로 관리자 권한으로 실행되어야 하는 소프트웨어일 경우라면 실행 파일에 대한 바로 가기를 만들어서 바로가기 속성의 호환성에서 "관리자 권한으로 이 프로그램 실행" 체크 설정해서 사용하면 되겠고요.



계속 실행되어 있어야 하는 서비스형 소프트웨어는 서비스로 등록시켜서 실행되게 하거나, 작업 스케쥴러 등에 등록시켜서 관리자로 실행될 수 있게 해 두면 되겠고요.


ShellRunas 같은 프로그램을 별로도 다운받아 사용하는 것도 하나의 방법이 될 수 있을 거라 보여 지고요.

wansoo | 2년 이상 전

runas 프로그램을 이용해서 사용하는 것도 방법일 수 있겠는데...

반복적으로 암호를 입력해야 하는 문제를 피하기 위해 

runas /savecred  옵션을 넣어서 바로가기를 만들어 사용하는게 좋은 방법이 될 거라 생각되고요.


예를 들어 아래 첨부 이미지와 같이 바로 가기를 만들어 사용하면 되지 않을까 싶고요.


바탕화면에서 오른 쪽 마우스 버튼 클릭해서...

새로 만들기 -> 바로가기






와 같이 해서 바로 가기 아이콘을 만들고...

처음 실행 시키면 관리자 암호를 넣어라고 하지만...

한번만 암호를 입력해서 실행하고 나면, 그 다음 부터는 관리자 암호를 묻지 않고 실행되기 때문에 관리자 암호가 노출될 위험을 피할수 있겠고요.

ITasso | 2년 이상 전

답변 주셔서 감사드립니다.


우선 관리자 권한으로 이 프로그램 실행 같은경우

매번 어드민 패스워드를 요구하더라고여.

두번째 방법같은경우 PC에 사용자 계정과 어드민 계정을 다 넣어야 하나요?

사용자 계정으로 로그인후 어드민계정을 넣었는데 작동이 안되더라고여.

혹시 자세한 설명 가능하시다면 부탁드리겠습니다.

답변 감사드립니다!!

wansoo | 2년 이상 전

/savecred 옵션을 붙여서 runas 명령을 실행시키면, 처음 실행할때 한번만 암호를 입력해 주면, 두번째 이후 부터는 암호를 입력해 주지 않아도 자동으로 첫 실행하면서 입력했던 암호가 적용되게 됩니다.


설명해둔 명령에 옵션들을 넣어서 직접 명령을 실행해 보면 궁금함이 해소 될 수 있을거라 생각되네요.

topkslee
  0 추천 | 2년 이상 전

윗 분이 말씀하신 사용자계정 컨트롤에서 설정 하는 방법과

무식하지만 관리자가 PC의 보안 수준을 낮음으로 해놓았을때도 가능합니다.

danis78
  0 추천 | 2년 이상 전 | 제이컴즈 | 010-2871-8756

보안 설정\로컬 정책\보안 옵션에서 아래 그림과 같이 설정하시고 해보세요 



danis78 | 2년 이상 전

저희 회사에서는 관리자 권한으로 실행해야 하는 프로그램이 없어서 테스트는 못해봤구요

해보시고 안되시면 얘기해주세요 

ITasso | 2년 이상 전

말씀하신 방법대로 실행했는데 안되네요. 도움주셔서 감사드립니다.

ITasso | 2년 이상 전

혹시 윗방법으로 실행하는 선행조건이 사용자 계정을 어드민 그룹으로 옮기고 나서 적용해야 하나요??