공유 자격 증명은 안전하지 않으며 관리가 어렵습니다.

공유 자격 증명은 안전하지 않으며 관리가 어렵습니다.

공유 네트워크 드라이브가 있다고 가정해 보겠습니다. 해당 드라이브의 콘텐츠에 액세스하려면 사용자 및 비밀번호 인증이 필요합니다.

사용자 및 비밀번호는 net use 명령 또는 Windows 자격 증명 관리자를 통해 단일 PC에 추가할 수 있으며 드라이브에 대한 액세스 권한이 부여됩니다.

모든 컴퓨터와 드라이브는 동일한 네트워크에 있으며 자격 증명이 있으면 모두 액세스할 수 있습니다.

복사본을 다른 PC에 복원할 수 있기 때문에 내 Windows 자격 증명의 복사본을 만들어 보았지만 여전히 수동으로 수행해야 하므로 이 작업을 자동으로 수행할 수 있는 방법을 찾아야 합니다.

어떻게 할 수 있니?확산PC 100대를 하나씩 추가하지 않고도 이러한 자격 증명을 사용할 수 있습니까?

사용이 가능한가요?순 사용우리가 IP를 알고 있기 때문에 특정 장치에서?

대부분의 컴퓨터는 도메인에 있습니다. 특정 권한이 부여된 단일 사용자가 생성되었으며 모든 컴퓨터는 해당 자격 증명을 사용하여 리소스를 작업해야 합니다.

답변1

공유 자격 증명은 안전하지 않으며 관리가 어렵습니다.

알아낸 바와 같이 단일 사용자 계정을 사용하여 여러 사용자에게 리소스에 대한 액세스 권한을 안전하게 부여하는 것은 문제가 있습니다. 나는 이 답변의 마지막 부분에서 무엇이 이것을 어렵게 만들고 왜 피해야 하는지 설명합니다.

하지만 먼저 리소스에 대한 액세스 권한을 부여하는 올바른 방법은 액세스가 필요한 각 사용자에 대해 개별 사용자 계정을 사용하는 것입니다. 이를 수행하는 방법은 대상 리소스 호스트 도메인의 일부인 시스템과 그렇지 않은 시스템에 따라 다릅니다.

동일한 도메인 회원

리소스를 호스팅하는 컴퓨터와 동일한 도메인에 있는 컴퓨터에서 리소스에 액세스하는 사용자의 경우 액세스가 필요한 기존 AD 사용자 계정에 액세스 권한을 부여하기만 하면 됩니다. 가장 좋은 방법은 다음과 같습니다.

  1. 도메인 보안 그룹을 만듭니다.
  2. 그룹에 대상 리소스에 대한 액세스 권한을 부여합니다.
  3. 리소스에 액세스해야 하는 각 AD 사용자 개체를 보안 그룹의 구성원으로 만듭니다.

도메인이 아닌 회원

리소스에 액세스해야 하지만 리소스 도메인에 없는 컴퓨터에서 액세스해야 하는 사용자의 경우 가장 좋은 방법은 다음과 같이 개별 사용자 계정에 액세스 권한을 부여하는 것입니다.

  1. 다음을 사용하여 Active Directory 사용자 계정을 만듭니다.같은리소스에 액세스해야 하는 도메인이 아닌 컴퓨터에 로그온하는 데 사용되는 사용자 이름과 비밀번호.

    어떤 이유로 사용자의 비밀번호에 접근할 수 없는 경우 다음 중 하나를 수행할 수 있습니다.

    ㅏ. 도메인이 아닌 각 사용자에 대해 AD 사용자 계정을 만들고 원하는 비밀번호를 할당합니다. 이 경우 다음과 같은 사용자 이름을 지정해야 합니다.다른그렇지 않으면 사용자 이름은 일치하지만 암호는 일치하지 않아 성공적인 로그온이 차단됩니다. (우선의.)

    비. 도메인이 아닌 모든 사용자가 공유할 단일 AD 사용자 개체를 만듭니다. (선호되지 않습니다. 아래를 참조하세요.)

  2. 위 섹션의 1단계에서 생성한 그룹의 새 AD 사용자 개체 구성원을 만듭니다.


여러 사용자에게 액세스 권한을 부여할 때 단일 사용자 개체를 피하는 이유는 무엇입니까?

보시다시피 모범 사례 접근 방식은 리소스에 대한 액세스 권한을 부여하기 위해 단일 사용자 이름과 비밀번호를 사용하지 않는 것입니다. 여기에는 몇 가지 이유가 있습니다.

  • 공유 계정은 액세스 요구 사항 변경에 유연하지 않습니다.사용자의 액세스 권한을 취소해야 할 때가 되면 공유 계정은 용서할 수 없습니다. 계정의 비밀번호를 변경해야 하며, 액세스가 필요한 모든 장치에서 비밀번호를 변경해야 합니다.

  • 공유 비밀번호는 변경하는 데 노동 집약적입니다.특정 사용자를 차단하기 위해 비밀번호를 사용하여 비밀번호 변경이 불가피하다고 가정합니다. 그러나 하나의 장치에서 비밀번호를 변경하는 대신 여러 장치에서 비밀번호를 변경해야 하며, 대부분의 장치는 중앙에서 관리되지 않는 경우가 많습니다. 설상가상으로 새 비밀번호가 배포될 때까지 이전 비밀번호를 사용하는 장치는 리소스에 액세스할 수 없습니다.

  • 공유 계정은 승인된 사용자를 식별하지 않습니다. 시스템 어디에서도 공유 계정을 통해 누가 액세스할 수 있는지 확인할 수 없습니다. 귀하(및 환경을 관리하는 다른 사람)는 별도의 목록을 유지해야 합니다. 그리고 사용자 개체에 직접 권한을 부여할 때와는 달리보장하다외부 목록이 정확합니다. 또한 리소스에 대한 액세스를 실시간으로 모니터링할 때 공유 계정은 실제로 리소스를 사용하는 사람이 누구인지 밝히지 않습니다.

  • 공유 계정은 손상에 더 많이 노출됩니다. 더 많은 시스템의 더 많은 장소에서 더 많은 사람들이 사용하며 각각은 가능한 손상 지점을 나타냅니다. 비밀번호 변경으로 이 문제를 해결하는 데 관련된 어려움에 대해서는 문제 #1을 다시 참조하세요.

단일 로그온 자격 증명 대량 배포

아마도 리소스에 대한 액세스 권한을 부여하려면 공유된 사용자 이름과 비밀번호를 계속 사용해야 한다는 것을 알게 될 것입니다. 이 경우 나쁜 소식은 보안을 유지하면서 자동화된 방식으로 편리하게 배포할 수 있는 방법이 없다는 것입니다.

자동화의 주요 문제는 공유 자격 증명을 사용/저장해야 한다는 사실입니다.리소스에 액세스하는 사용자의 로그온 컨텍스트에서. 이는 원격 자동화 프로세스를 배제합니다(각 사용자의 비밀번호를 아는 경우는 제외되며 이 경우 공유 자격 증명을 사용할 필요가 없습니다).

남은 것은 공유 자격 증명을 저장하는 동안 사용자가 로그인할 수 있도록 사용자가 있는 동안 컴퓨터에 하나씩 액세스하거나 사용자가 직접 입력할 수 있도록 자격 증명을 사용자에게 직접 제공하는 것입니다.

관련 정보