비밀번호 변경을 위한 Active Directory 권한에 대해 질문이 있습니다. 특정 OU 사용자의 비밀번호 변경 권한을 취소할 수 있나요?
이 작업을 어떻게 수행할 수 있나요? 특정 사용자 그룹에 대해 수행할 수 있다는 것을 알고 있지만 특정 OU의 사용자에 대해서도 가능합니까?
업데이트
모든 답변에 감사드립니다. 정말 도움이 되었습니다. 불행하게도 나는 낮은 평판으로 인해 이러한 응답을 찬성할 수 없습니다.)
사용자의 95%가 제가 쓰고 있는 OU에 속해 있습니다. 모든 사람 그룹에서 비밀번호 변경 권한을 제거하고 비밀번호를 변경할 수 있는 사용자를 위한 그룹을 만들려고 생각 중입니다. 문제는 이 OU의 사용자가 다른 애플리케이션에 있으므로 AD가 아닌 이 앱을 사용하여 비밀번호를 변경해야 한다는 것입니다. 이 OU에 속하지 않은 사용자는 AD에만 있으므로 AD에서 비밀번호를 변경할 수 있습니다.
그것이 좋은 해결책이 될 것이라고 생각합니까, 아니면 문제가 있을 것이라고 생각합니까?
도와 주셔서 감사합니다.
답변1
John Rennie와 Sam Cogan의 답변(John이 적절하게 언급했듯이)은 사용자 인터페이스를 비활성화하여 비밀번호를 변경하려고 시도하지만 실제로 사용자가 비밀번호를 변경할 수 있는 기능을 빼앗지는 않는 한 "해킹"입니다.
사용자 계정이 있는 OU에 대해 Active Directory가 기본적으로 설정하는 권한에 대한 변경을 찾고 계신 것 같습니다. 나는 그것에 대해 당신에게 경고할 것입니다. Microsoft는 이미 사용자 계정 개체의 특성을 통해 이 기능을 제공하므로 AD 권한을 변경하는 것보다 이미 제공된 특성을 사용하는 것이 더 좋습니다. 작동하는 권한을 찾을 수도 있고 OS가 유용한 메시지를 표시하지 않을 수도 있습니다.
영향을 받는 모든 사용자는 Active Directory 사용자 및 컴퓨터를 사용하고 사용자 계정의 속성을 한꺼번에 수정해야 합니다. Dart의 답변은 기능적으로 모든 사용자 계정을 선택하고 "사용자가 비밀번호를 변경할 수 없음"을 그래픽으로 설정하는 것과 동일합니다. 명령줄이 더 마음에 든다면 그렇게 하세요.
Windows 2003에는 Active Directory 권한을 사용하여 "확장 권한"으로 이 작업을 수행하는 기능이 있습니다. 이 기능에 대한 좋은 문서를 찾지 못했습니다. 다음은 암호 변경과 관련된 "확장 권한"에 대한 배경 지식입니다. 첫 번째는 Active Directory "응용 프로그램 모드"(또는 이번 주에 Microsoft가 부르는 모든 이름)와 관련된 것입니다.
테스트 W2K3 Active Directory(Windows 2003 도메인 기능 수준)의 OU에 "SELF - Deny - User Objects - Extended Right: Change Password" 권한을 배치하여 Massimo의 대답을 확인하려고 시도한 결과 사용자 개체가 그 이하인 것으로 나타났습니다. OU는 여전히 GUI 비밀번호 변경 기능을 사용하여 비밀번호를 변경할 수 있었습니다. 각 사용자 개체를 살펴보면 상속된 "거부" 권한을 볼 수 있었지만 Active Directory는 이를 무시하는 것으로 나타났습니다.
사용자 개체에 대한 "SELF - 허용 - 비밀번호 변경" 권한을 제거하는 것만으로도 위 테스트와 동일한 기능을 얻을 수 있었습니다. 사용자는 여전히 비밀번호를 변경할 수 있었습니다.
나는 이를 바탕으로 Massimo의 대답이 당신이 원하는 것을 하지 않는다고 말하고 싶습니다.
나는 찾았다이 기사Microsoft에서 테스트해 보았습니다. 개별 사용자 개체에 스크립트를 대상으로 지정하면 원하는 대로 작동하고사용자가 자신의 비밀번호를 변경할 수 없습니다.. 그러나 이를 OU별로 설정하려고 하므로 이는 별로 도움이 되지 않습니다.
그러나 OU에서 Microsoft의 해당 스크립트를 대상으로 하면 더 긴 동작이 예상한 대로 나타납니다. (또한 OU에 추가된 ACE를 수정하여 스크립트에서 허용한 대로 "이 개체만" 대신 "이 개체 및 하위 개체"에 적용하면아직기대만큼은 아니다.)
나는 이것에 대해 정말로 벽에 머리를 두드리고 있습니다. 이는 잘 문서화되지 않은 Active Directory 동작의 특이한 현상처럼 보입니다. 나는 겪었다"Active Directory 도메인 서비스"그리고Active Directory 스키마문서가 있는데 이 동작을 설명하는 문서를 찾지 못했습니다.
답변2
보다http://support.microsoft.com/kb/324744
그러나 이것은 약간의 해킹이라는 점에 유의하십시오. 사용자가 비밀번호를 변경하는 것을 막는 것이 아니라 ctrl-alt-del 대화 상자에서 비밀번호 변경 옵션을 제거하는 것뿐입니다. 사용자는 여전히 명령줄 비밀번호 변경 프로그램을 사용할 수 있습니다.
JR
답변3
예, 그룹 정책을 통해 그렇게 할 수 있습니다. 제한하려는 OU에 대한 그룹 정책 편집기를 엽니다(OU, 속성, 그룹 정책 탭을 마우스 오른쪽 버튼으로 클릭). 새 정책을 생성하거나 기존 정책을 편집하고 다음으로 이동하세요.
User Configuration -> Administrative Templates -> System
여기에서 Ctrl+Alt+Del 옵션을 선택하고 오른쪽 창에서 '비밀번호 변경 제거' 옵션을 활성화합니다.
그룹 정책 편집기를 닫습니다. 즉시 적용하려면 명령 프롬프트를 열고 실행하세요.
gpupdate /target:user /force
답변4
"SELF"에 할당된 사용자 권한에서 "비밀번호 변경"을 제거(또는 명시적으로 거부)하여 특정 사용자에 대해 이 작업을 수행하는 권한을 제거할 수 있습니다.
사용자 개체 자체의 ACL을 수동으로 편집해야 합니다. Active Directory 사용자 및 컴퓨터 콘솔에서 고급 기능을 활성화한 다음(보기 -> 고급 기능) 사용자 속성을 열고 "보안"을 선택하여 액세스할 수 있습니다.