따라서 지금 당장 헬프 데스크의 누구든지 도메인 관리자를 포함하여 모든 계정의 AD 비밀번호를 재설정할 수 있습니다. 표준 사용자의 암호는 복구할 수 있지만 시스템 관리자만이 다른 시스템 관리자의 암호를 복구할 수 있도록 하려면 어떻게 해야 합니까? (또한 그룹에 추가하는 것과 동일한 작업을 수행하려고 합니다.) 감사합니다!
답변1
높은 권한(예: 도메인 관리자, 엔터프라이즈 관리자, 스키마 관리자 등)이 있는 AD 계정은 위임 방지(예: 도메인 관리자, 엔터프라이즈 관리자, 스키마 관리자 등)를 포함하여 여러 작업을 수행하는 보호된 사용자 그룹의 구성원이 됩니다.https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group).
대답은 헬프 데스크 개인이 사용자 비밀번호 재설정을 허용해야 하는 사용자 개체가 헬프 데스크 개인이 "사용자 비밀번호 재설정 및 강제 실행"에 대한 권한을 위임한 조직 단위(OU)에 있도록 좋은 AD 구조를 설계해야 한다는 것입니다. 암호 변경이 허용된 사용자 개체가 있는 OU에서 다음 로그온 시 암호 변경'을 수행합니다.
또 다른 접근 방식은 "사용자 비밀번호를 재설정하고 다음 로그온 시 비밀번호 강제 변경" 권한을 위임할 보안 그룹을 만드는 것입니다. 보안 그룹에 헬프 데스크 계정을 추가합니다. 헬프 데스크 계정이 비밀번호를 재설정할 수 있도록 허용해야 하는 사용자가 있는 OU를 식별합니다. 앞서 언급한 각 OU에서 "사용자 비밀번호를 재설정하고 다음 로그온 시 비밀번호 강제 변경" 권한을 생성한 보안 그룹에 위임합니다.