공유 자격 증명은 안전하지 않으며 관리가 어렵습니다.

Question

공유 자격 증명은 안전하지 않으며 관리가 어렵습니다.

알아낸 바와 같이 단일 사용자 계정을 사용하여 여러 사용자에게 리소스에 대한 액세스 권한을 안전하게 부여하는 것은 문제가 있습니다. 나는 이 답변의 마지막 부분에서 무엇이 이것을 어렵게 만들고 왜 피해야 하는지 설명합니다.

하지만 먼저 리소스에 대한 액세스 권한을 부여하는 올바른 방법은 액세스가 필요한 각 사용자에 대해 개별 사용자 계정을 사용하는 것입니다. 이를 수행하는 방법은 대상 리소스 호스트 도메인의 일부인 시스템과 그렇지 않은 시스템에 따라 다릅니다.

동일한 도메인 회원

리소스를 호스팅하는 컴퓨터와 동일한 도메인에 있는 컴퓨터에서 리소스에 액세스하는 사용자의 경우 액세스가 필요한 기존 AD 사용자 계정에 액세스 권한을 부여하기만 하면 됩니다. 가장 좋은 방법은 다음과 같습니다.

도메인 보안 그룹을 만듭니다.
그룹에 대상 리소스에 대한 액세스 권한을 부여합니다.
리소스에 액세스해야 하는 각 AD 사용자 개체를 보안 그룹의 구성원으로 만듭니다.

도메인이 아닌 회원

리소스에 액세스해야 하지만 리소스 도메인에 없는 컴퓨터에서 액세스해야 하는 사용자의 경우 가장 좋은 방법은 다음과 같이 개별 사용자 계정에 액세스 권한을 부여하는 것입니다.

다음을 사용하여 Active Directory 사용자 계정을 만듭니다.같은리소스에 액세스해야 하는 도메인이 아닌 컴퓨터에 로그온하는 데 사용되는 사용자 이름과 비밀번호.

어떤 이유로 사용자의 비밀번호에 접근할 수 없는 경우 다음 중 하나를 수행할 수 있습니다.

ㅏ. 도메인이 아닌 각 사용자에 대해 AD 사용자 계정을 만들고 원하는 비밀번호를 할당합니다. 이 경우 다음과 같은 사용자 이름을 지정해야 합니다.다른그렇지 않으면 사용자 이름은 일치하지만 암호는 일치하지 않아 성공적인 로그온이 차단됩니다. (우선의.)

비. 도메인이 아닌 모든 사용자가 공유할 단일 AD 사용자 개체를 만듭니다. (선호되지 않습니다. 아래를 참조하세요.)
위 섹션의 1단계에서 생성한 그룹의 새 AD 사용자 개체 구성원을 만듭니다.

여러 사용자에게 액세스 권한을 부여할 때 단일 사용자 개체를 피하는 이유는 무엇입니까?

보시다시피 모범 사례 접근 방식은 리소스에 대한 액세스 권한을 부여하기 위해 단일 사용자 이름과 비밀번호를 사용하지 않는 것입니다. 여기에는 몇 가지 이유가 있습니다.

공유 계정은 액세스 요구 사항 변경에 유연하지 않습니다.사용자의 액세스 권한을 취소해야 할 때가 되면 공유 계정은 용서할 수 없습니다. 계정의 비밀번호를 변경해야 하며, 액세스가 필요한 모든 장치에서 비밀번호를 변경해야 합니다.
공유 비밀번호는 변경하는 데 노동 집약적입니다.특정 사용자를 차단하기 위해 비밀번호를 사용하여 비밀번호 변경이 불가피하다고 가정합니다. 그러나 하나의 장치에서 비밀번호를 변경하는 대신 여러 장치에서 비밀번호를 변경해야 하며, 대부분의 장치는 중앙에서 관리되지 않는 경우가 많습니다. 설상가상으로 새 비밀번호가 배포될 때까지 이전 비밀번호를 사용하는 장치는 리소스에 액세스할 수 없습니다.
공유 계정은 승인된 사용자를 식별하지 않습니다. 시스템 어디에서도 공유 계정을 통해 누가 액세스할 수 있는지 확인할 수 없습니다. 귀하(및 환경을 관리하는 다른 사람)는 별도의 목록을 유지해야 합니다. 그리고 사용자 개체에 직접 권한을 부여할 때와는 달리보장하다외부 목록이 정확합니다. 또한 리소스에 대한 액세스를 실시간으로 모니터링할 때 공유 계정은 실제로 리소스를 사용하는 사람이 누구인지 밝히지 않습니다.
공유 계정은 손상에 더 많이 노출됩니다. 더 많은 시스템의 더 많은 장소에서 더 많은 사람들이 사용하며 각각은 가능한 손상 지점을 나타냅니다. 비밀번호 변경으로 이 문제를 해결하는 데 관련된 어려움에 대해서는 문제 #1을 다시 참조하세요.

단일 로그온 자격 증명 대량 배포

아마도 리소스에 대한 액세스 권한을 부여하려면 공유된 사용자 이름과 비밀번호를 계속 사용해야 한다는 것을 알게 될 것입니다. 이 경우 나쁜 소식은 보안을 유지하면서 자동화된 방식으로 편리하게 배포할 수 있는 방법이 없다는 것입니다.

자동화의 주요 문제는 공유 자격 증명을 사용/저장해야 한다는 사실입니다.리소스에 액세스하는 사용자의 로그온 컨텍스트에서. 이는 원격 자동화 프로세스를 배제합니다(각 사용자의 비밀번호를 아는 경우는 제외되며 이 경우 공유 자격 증명을 사용할 필요가 없습니다).

남은 것은 공유 자격 증명을 저장하는 동안 사용자가 로그인할 수 있도록 사용자가 있는 동안 컴퓨터에 하나씩 액세스하거나 사용자가 직접 입력할 수 있도록 자격 증명을 사용자에게 직접 제공하는 것입니다.

Answer 1

공유 자격 증명은 안전하지 않으며 관리가 어렵습니다.

알아낸 바와 같이 단일 사용자 계정을 사용하여 여러 사용자에게 리소스에 대한 액세스 권한을 안전하게 부여하는 것은 문제가 있습니다. 나는 이 답변의 마지막 부분에서 무엇이 이것을 어렵게 만들고 왜 피해야 하는지 설명합니다.

하지만 먼저 리소스에 대한 액세스 권한을 부여하는 올바른 방법은 액세스가 필요한 각 사용자에 대해 개별 사용자 계정을 사용하는 것입니다. 이를 수행하는 방법은 대상 리소스 호스트 도메인의 일부인 시스템과 그렇지 않은 시스템에 따라 다릅니다.

동일한 도메인 회원

리소스를 호스팅하는 컴퓨터와 동일한 도메인에 있는 컴퓨터에서 리소스에 액세스하는 사용자의 경우 액세스가 필요한 기존 AD 사용자 계정에 액세스 권한을 부여하기만 하면 됩니다. 가장 좋은 방법은 다음과 같습니다.

도메인 보안 그룹을 만듭니다.
그룹에 대상 리소스에 대한 액세스 권한을 부여합니다.
리소스에 액세스해야 하는 각 AD 사용자 개체를 보안 그룹의 구성원으로 만듭니다.

도메인이 아닌 회원

리소스에 액세스해야 하지만 리소스 도메인에 없는 컴퓨터에서 액세스해야 하는 사용자의 경우 가장 좋은 방법은 다음과 같이 개별 사용자 계정에 액세스 권한을 부여하는 것입니다.

다음을 사용하여 Active Directory 사용자 계정을 만듭니다.같은리소스에 액세스해야 하는 도메인이 아닌 컴퓨터에 로그온하는 데 사용되는 사용자 이름과 비밀번호.

어떤 이유로 사용자의 비밀번호에 접근할 수 없는 경우 다음 중 하나를 수행할 수 있습니다.

ㅏ. 도메인이 아닌 각 사용자에 대해 AD 사용자 계정을 만들고 원하는 비밀번호를 할당합니다. 이 경우 다음과 같은 사용자 이름을 지정해야 합니다.다른그렇지 않으면 사용자 이름은 일치하지만 암호는 일치하지 않아 성공적인 로그온이 차단됩니다. (우선의.)

비. 도메인이 아닌 모든 사용자가 공유할 단일 AD 사용자 개체를 만듭니다. (선호되지 않습니다. 아래를 참조하세요.)
위 섹션의 1단계에서 생성한 그룹의 새 AD 사용자 개체 구성원을 만듭니다.

여러 사용자에게 액세스 권한을 부여할 때 단일 사용자 개체를 피하는 이유는 무엇입니까?

보시다시피 모범 사례 접근 방식은 리소스에 대한 액세스 권한을 부여하기 위해 단일 사용자 이름과 비밀번호를 사용하지 않는 것입니다. 여기에는 몇 가지 이유가 있습니다.

공유 계정은 액세스 요구 사항 변경에 유연하지 않습니다.사용자의 액세스 권한을 취소해야 할 때가 되면 공유 계정은 용서할 수 없습니다. 계정의 비밀번호를 변경해야 하며, 액세스가 필요한 모든 장치에서 비밀번호를 변경해야 합니다.
공유 비밀번호는 변경하는 데 노동 집약적입니다.특정 사용자를 차단하기 위해 비밀번호를 사용하여 비밀번호 변경이 불가피하다고 가정합니다. 그러나 하나의 장치에서 비밀번호를 변경하는 대신 여러 장치에서 비밀번호를 변경해야 하며, 대부분의 장치는 중앙에서 관리되지 않는 경우가 많습니다. 설상가상으로 새 비밀번호가 배포될 때까지 이전 비밀번호를 사용하는 장치는 리소스에 액세스할 수 없습니다.
공유 계정은 승인된 사용자를 식별하지 않습니다. 시스템 어디에서도 공유 계정을 통해 누가 액세스할 수 있는지 확인할 수 없습니다. 귀하(및 환경을 관리하는 다른 사람)는 별도의 목록을 유지해야 합니다. 그리고 사용자 개체에 직접 권한을 부여할 때와는 달리보장하다외부 목록이 정확합니다. 또한 리소스에 대한 액세스를 실시간으로 모니터링할 때 공유 계정은 실제로 리소스를 사용하는 사람이 누구인지 밝히지 않습니다.
공유 계정은 손상에 더 많이 노출됩니다. 더 많은 시스템의 더 많은 장소에서 더 많은 사람들이 사용하며 각각은 가능한 손상 지점을 나타냅니다. 비밀번호 변경으로 이 문제를 해결하는 데 관련된 어려움에 대해서는 문제 #1을 다시 참조하세요.

단일 로그온 자격 증명 대량 배포

아마도 리소스에 대한 액세스 권한을 부여하려면 공유된 사용자 이름과 비밀번호를 계속 사용해야 한다는 것을 알게 될 것입니다. 이 경우 나쁜 소식은 보안을 유지하면서 자동화된 방식으로 편리하게 배포할 수 있는 방법이 없다는 것입니다.

자동화의 주요 문제는 공유 자격 증명을 사용/저장해야 한다는 사실입니다.리소스에 액세스하는 사용자의 로그온 컨텍스트에서. 이는 원격 자동화 프로세스를 배제합니다(각 사용자의 비밀번호를 아는 경우는 제외되며 이 경우 공유 자격 증명을 사용할 필요가 없습니다).

남은 것은 공유 자격 증명을 저장하는 동안 사용자가 로그인할 수 있도록 사용자가 있는 동안 컴퓨터에 하나씩 액세스하거나 사용자가 직접 입력할 수 있도록 자격 증명을 사용자에게 직접 제공하는 것입니다.

공유 자격 증명은 안전하지 않으며 관리가 어렵습니다.

답변1

공유 자격 증명은 안전하지 않으며 관리가 어렵습니다.

동일한 도메인 회원

도메인이 아닌 회원

여러 사용자에게 액세스 권한을 부여할 때 단일 사용자 개체를 피하는 이유는 무엇입니까?

단일 로그온 자격 증명 대량 배포

관련 정보