관리형 Microsoft AD의 기본 Active Directory 객체

Microsoft Active Directory용 관리형 서비스를 사용하여 새 도메인을 만들면 일부 Active Directory 객체가 자동으로 생성됩니다. 이를 통해 AD 도메인을 관리하고 일반적으로 다른 사용자나 그룹에 위임된 AD 태스크를 보다 쉽게 관리 할 수 있습니다.

다음 다이어그램은 개요를 보여줍니다. 각 객체에 대한 전체 목록과 설명은 아래 표를 참조하세요.

AD 그룹

조직 단위

표 1은 생성된 OU(조직 단위)를 보여줍니다.

표 1. 조직 단위
이름 설명
Cloud 모든 AD 객체를 호스팅합니다. 이 OU 내에서 전체 제어 권한을 갖습니다.
Cloud Service Objects 관리형 Microsoft AD에서 만들고 관리하는 AD 객체를 호스팅합니다. 사전에 만든 객체의 일부 속성은 자유롭게 업데이트할 수 있지만 Google Cloud만 이 OU에서 객체를 만들 수 있습니다.

그룹

Cloud Service Objects OU 아래에 다음 그룹이 생성됩니다.

표 2. Cloud Service Objects OU의 그룹
이름 유형 설명
Cloud Service Administrators 전역 구성원은 관리형 Microsoft AD 클라우드 서비스의 관리자입니다.
Cloud Service All Administrators 도메인 로컬 구성원은 관리형 Microsoft AD 클라우드 서비스의 관리자입니다. 여기에는 트러스트된 도메인의 구성원이 포함될 수 있습니다.
Cloud Service Computer Administrators 도메인 로컬 구성원은 도메인에 가입된 머신의 관리자입니다.
Cloud Service DNS Administrators 도메인 로컬 구성원은 Active Directory 통합 DNS 영역 내에서 DNS 항목을 추가, 제거, 수정할 수 있습니다.
Cloud Service Managed Service Account Administrators 도메인 로컬 구성원은 관리형 서비스 계정을 관리할 수 있습니다.
Cloud Service Computer Remote Desktop Users 도메인 로컬 구성원은 도메인에 가입된 머신에 대한 원격 데스크톱 권한을 갖습니다.
Cloud Service Site Administrators 도메인 로컬 구성원은 Active Directory 사이트의 이름을 변경할 수 있습니다.
Cloud Service Protected Users 전역 보호된 사용자 그룹의 보호가 구성원에게 적용됩니다.
Cloud Service Group Policy Creator Owners 도메인 로컬 구성원은 GPO(그룹 정책 객체)를 만들 수 있습니다. GPO는 Cloud OU와 그 안에 있는 객체에서만 연결할 수 있습니다.
Cloud Service Domain Join Accounts 도메인 로컬 구성원은 컴퓨터를 도메인에 가입할 수 있습니다.
Cloud Service Fine Grained Password Policy Administrators 도메인 로컬 구성원은 비밀번호 정책을 수정하고 사용자 및 그룹에 할당할 수 있습니다.

관리형 Microsoft AD는 Active Directory 도메인 서비스용 권한 관리를 사용하여 사용자에게 시간 제한 그룹 멤버십을 제공하는 기능을 지원하지 않습니다.

그룹 정책 객체

관리형 Microsoft AD는 특정 그룹 정책 기능을 지원하기 위해 일부 GPO(그룹 정책 객체)를 자동으로 만듭니다.

표 3. 그룹 정책 객체
이름 설명
Cloud Service Default Computer Policy Cloud OU에 연결되어 있습니다. Cloud OU에 대한 Cloud Service Computer Administrators 로컬 관리자 권한과 Cloud Service Computer Remote Desktop Users 원격 데스크톱(RDP) 권한을 부여합니다.

커스텀 GPO를 만들어 Cloud OU 또는 Cloud OU 내의 모든 하위 OU에 연결할 수 있습니다. GPO를 OU에 연결하는 방법에 관한 자세한 내용은 GPO를 도메인에 연결을 참고하세요.

비밀번호 설정 객체

관리형 Microsoft AD는 10개 비밀번호 설정 객체(PSO)를 자동으로 만듭니다. 이러한 PSO의 이름이나 우선순위는 변경할 수 없습니다. 표 4에는 이러한 PSO의 이름과 우선순위가 나와 있습니다.

표 4. 정책 설정 객체
이름 우선 적용
PSO-10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO-50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

기본값은 각 PSO에 대한 비밀번호 정책 설정에 할당됩니다. 이 값은 변경할 수 있습니다. 표 5는 이러한 기본 설정을 보여줍니다.

표 5. 기본 PSO 설정
정책 설정
복잡성 사용 설정
잠금 시간 30분
잠금 관찰 기간 30분
잠금 기준점 0
비밀번호 최대 사용 기간 42일
비밀번호 최소 사용 기간 1일
비밀번호 최소 길이 7
비밀번호 기록 수 24
복원 가능한 암호화가 사용 설정됨 거짓

사용자

관리형 Microsoft AD는 표 6에 표시된 사용자를 자동으로 만듭니다.

표 6. 사용자
이름 설명
setupadmin(기본)

도메인 관리를 위한 위임된 관리자 계정입니다. 기본 이름은 setupadmin입니다. 도메인 생성 중 다른 이름을 지정할 수 있습니다.

도메인의 비밀번호를 재설정하면 이 계정의 비밀번호가 설정됩니다.

cloudsvcadmin 관리형 Microsoft AD에서 도메인을 관리하는 데 사용하는 서비스 계정입니다. 이 계정은 시스템에서 사용하기 위한 것이며 직접 사용, 수정 또는 삭제해서는 안 됩니다.

위임된 관리자

표 7에는 도메인을 프로비저닝할 때 위임된 관리자 계정에 자동으로 부여되는 Active Directory 권한이 나와 있습니다. 이러한 권한은 계정의 그룹 멤버십에서 부여하므로 해당 그룹 중 하나에서 계정을 삭제하면 계정의 권한과 사용 가능한 작업에 영향을 미칠 수 있습니다. 이 계정의 기본 이름은 setupadmin입니다. 계정 이름을 변경했지만 값이 기억나지 않는 경우 이름을 검색할 수 있습니다. 자세한 내용은 위임된 관리자 계정 사용을 참조하세요.

위임된 관리자 계정에는 Domain Admins, Enterprise Admins, BUILTIN\Administrators 권한이 없는데, 이는 관리형 Microsoft AD는 관리형 서비스이고 이를 사용할 권한은 Google이 보유하기 때문입니다. 따라서 분산 파일 시스템(DFS), DHCP, 도메인 수준에서 GPO 구성, 디렉터리 변경사항을 복제, 포리스트 기능 수준을 높이기, 기타 포리스트 전체에 변경사항 적용하기 등, 관리형 Microsoft AD에서 이러한 권한이 필요한 Active Directory 기능은 사용할 수 없습니다.

표 7. 위임된 관리자 계정 권한
Active Directory 객체 고유 이름 객체에 허용된 위임된 관리자 계정 작업
클라우드 OU=Cloud,DC=<domain-name>

Cloud OU에 있는 모든 객체 유형에 대해 CRUD 작업을 수행할 수 있습니다.

GPO를 이 OU 및 하위 OU에 연결할 수 있습니다

OU를 삭제하거나 이름을 바꿀 수 없습니다.

관리형 서비스 계정 컨테이너 CN=Managed Service Accounts, DC=<domain-name> 그룹 관리형 서비스 계정 및 모든 관련 관리를 생성, 업데이트, 삭제할 수 있습니다
MicrosoftDNS 컨테이너 CN=MicrosoftDNS,CN=System, DC=<domain-name> DNS 관리자를 사용하여 AD 통합 DNS 서버에 연결할 수 있습니다.
DomainDNSZones 폴더 CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> 조건부 전달자, A 레코드, CNAME 레코드, DNS 위임, 정방향 조회 영역, 역방향 조회 영역을 만들 수 있습니다
ForestDNSZones 폴더 CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> 조건부 전달자, A 레코드, CNAME 레코드, DNS 위임, 정방향 조회 영역, 역방향 조회 영역을 만들 수 있습니다

위임된 관리자 계정

(기본 이름: setupadmin)

CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

도메인 프로비저닝 중에 자동으로 생성된 위임된 관리자 계정의 비밀번호를 변경할 수 있습니다

계정 이름 얻기비밀번호 재설정에 대해 자세히 알아보세요.

Cloud 서비스 관리자 CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

Cloud Service Administrators 관리형 그룹에 AD 객체를 추가하거나 제거할 수 있습니다

이 그룹에 추가된 모든 계정에는 위임된 관리자 계정에 부여된 것과 동일한 권한 집합이 부여됩니다.

모든 사이트 CN=Sites,CN=Configuration, DC=<domain-name>의 모든 사이트 Active Directory 사이트 이름을 변경할 수 있습니다.
모든 관리 그룹 OU=Cloud Service Objects, DC=<domain-name> 아래의 모든 Cloud 관리형 그룹

사전에 만들어진 Cloud 관리형 그룹에서 AD 객체를 추가 및 제거할 수 있습니다.

AD 설치 중에 만들어진 기본 제공 Active Directory 그룹에는 적용되지 않습니다.

정책 컨테이너 CN=Policies, CN=System,DC=<domain-name>

그룹 정책 객체를 생성, 업데이트, 삭제할 수 있습니다

기본 도메인 컨트롤러 또는 기본 도메인 정책 GPO를 편집하거나 삭제할 수 없습니다.

파티션 컨테이너(UPN 서픽스) CN=Partitions,CN=Configuration, DC=<domain-name> UPN 서픽스 변경 가능
터미널 서비스 라이선스 서버 CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> 터미널 라이선스 서버 역할이 있는 Windows 서버를 터미널 서비스 라이선스 서버 기본 제공 그룹에 추가 할 수 있습니다.

다음 단계