위임된 관리자 계정 사용

이 항목에서는 Microsoft Active Directory용 관리형 서비스 위임된 관리자 계정을 사용하고 사용자 인증 정보를 관리하는 방법을 보여줍니다.

개요

관리형 Microsoft AD 도메인을 만들면 관리형 Microsoft AD는 위임된 관리자 계정을 자동으로 만듭니다. 이 계정을 사용하여 도메인을 관리할 수 있습니다. 이 계정에 로그인하면 다음을 수행할 수 있습니다.

  • 데이터 및 Active Directory 객체 관리
  • 다른 서비스 관리자 관리
  • 표준 Active Directory 도구 사용

위임된 관리자 계정에 자동으로 부여된 권한에 대해 자세히 알아보세요.

계정 이름 가져오기

기본적으로 위임된 관리자 계정은 setupadmin입니다. 도메인을 만들 때 커스텀 사용자 이름을 지정할 수도 있습니다. 도메인을 만든 후에는 사용자 이름을 변경할 수 없습니다.

위임된 관리자 계정의 이름을 검색하려면 다음 안내를 따르세요.

Console

  1. Console의 관리형 Microsoft AD 페이지로 이동합니다.
    관리형 Microsoft AD로 이동
  2. FQDN에서 위임된 관리자 계정 이름을 가져올 도메인을 선택합니다.
  3. 계정 이름이 관리자 이름 아래에 나열됩니다.

gcloud

다음 명령어를 실행합니다.

gcloud active-directory domains describe DOMAIN_NAME

응답은 도메인 정보가 포함된 YAML입니다. 위임된 관리자 계정 이름이 managedIdentitiesAdminName 필드 아래에 나열됩니다.

managedIdentitiesAdminName: setupadmin

비밀번호 재설정

위임된 관리자 계정의 비밀번호를 잊어버린 경우 기존 비밀번호를 검색할 수 없습니다. 하지만 비밀번호를 재설정할 수 있습니다.

위임된 관리자 계정의 비밀번호를 재설정하려면 다음 IAM 역할 중 하나가 있어야 합니다.

  • Google Cloud 관리형 ID 관리자(roles/managedidentities.admin)
  • Google Cloud 관리형 ID 도메인 관리자(roles/managedidentities.domainAdmin)

자세한 내용은 Cloud 관리형 ID 역할을 참조하세요.

Console

  1. Console의 관리형 Microsoft AD 페이지로 이동합니다.
    관리형 Microsoft AD로 이동

  2. FQDN에서 위임된 관리자 비밀번호를 재설정할 도메인을 선택하세요.

  3. 도메인 세부정보 페이지에서 비밀번호 설정을 선택하세요.

  4. 비밀번호 설정 대화상자에서 확인을 클릭하세요.

  5. 새 비밀번호는 새 비밀번호 대화상자에 표시됩니다.

gcloud

다음 명령어를 실행합니다.

gcloud active-directory domains reset-admin-password DOMAIN_NAME

이 작업은 도메인 자체의 비밀번호를 재설정하므로 완료하는 데 최대 60초가 걸릴 수 있습니다.

비밀번호 만료 중지

기본적으로 위임된 관리자 계정의 비밀번호는 42일 후에 만료됩니다.

세밀화된 비밀번호 정책 개념(FGPP)을 사용하여 위임된 관리자 계정의 비밀번호 만료를 사용 중지할 수 있습니다. FGPP를 사용하면 필요한 비밀번호 설정 객체(PSO)의 Maximum password age 정책 설정 값을 '0'으로 설정하고 위임된 관리자 계정에 비밀번호 정책을 적용할 수 있습니다.

위임된 관리자 계정의 비밀번호 만료를 사용 중지하려면 클라우드 서비스 세분화된 비밀번호 정책 관리자 그룹의 구성원이어야 합니다.

  1. 이 그룹에 사용자를 추가하려면 PowerShell에서 다음 명령어를 실행하세요.

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    -Members USER
    USER를 클라우드 서비스 세분화된 비밀번호 정책 관리자 그룹에 추가할 사용자의 이름으로 바꿉니다.

    자세한 내용은 정책 관리 권한 위임을 참조하세요.

  2. 위임된 관리자 계정에서 로그오프합니다.

위임된 관리자 계정에 대해 비밀번호 만료를 사용 중지하려면 다음 안내를 따르세요.

  1. 클라우드 서비스 세분화된 비밀번호 정책 관리자 그룹의 구성원으로 로그인합니다.

  2. PowerShell에서 다음 명령어를 실행하여 MaxPasswordAge 속성 값을 '0'으로 수정합니다.

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    
    PSO를 FGPP를 사용하여 비밀번호 만료 정책을 사용 중지하려는 PSO의 이름으로 바꿉니다. 예를 들면 PSO-10입니다.

    Set-ADFineGrainedPasswordPolicy cmdlet에 대한 자세한 내용은 사전 생성된 비밀번호 정책 수정을 참조하세요.

  3. PowerShell에서 다음 명령어를 실행하여 위임된 관리자 계정에 비밀번호 정책을 적용합니다.

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    
    다음을 바꿉니다.

    • PSO: 비밀번호 만료 정책을 사용 중지한 PSO의 이름입니다. 예를 들면 PSO-10입니다.
    • DELEGATED_ADMINISTRATOR_ACCOUNT: 비밀번호 만료를 사용 중지하려는 위임된 관리자 계정의 이름입니다. 예를 들면 setupadmin입니다.

    Add-ADFineGrainedPasswordPolicySubject cmdlet에 대한 자세한 내용은 비밀번호 정책에 사용자 또는 그룹 추가를 참조하세요.

Active Directory Domain Services 도구 사용

AD DS(Active Directory 도메인 서비스) 도구에 액세스하려면 위임된 관리자 계정을 사용해야 합니다. VM 인스턴스에 연결하면 위임된 관리자 계정으로 로그인해야 합니다. VM에 연결한 후 계정을 전환하거나 추가 사용자 인증 정보를 제공할 수 없습니다. VM에 연결한 후 역할 및 기능 추가 마법사를 사용하여 AD DS 도구를 사용 설정할 수 있습니다. AD DS 도구 사용에 대해 자세히 알아보세요.

UPN 서픽스 만들기

현재 도메인과 루트 도메인의 이름은 기본 사용자 기본 이름(UPN) 서픽스입니다. 대체 도메인 이름을 추가하면 보안이 강화되고 사용자 로그인 이름이 간단해집니다.

UPN 서픽스를 만들려면 다음 안내를 따르세요.

  1. 위임된 관리자 계정으로 VM 인스턴스에 연결합니다.
  2. 서버 관리자를 엽니다.
  3. 도구에서 Active Directory 도메인 및 트러스트를 선택하세요.
  4. Active Directory 도메인 및 트러스트 관리 콘솔의 왼쪽 창에서 Active Directory 도메인 및 트러스트를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택하세요.
  5. 대화상자의 대체 UPN 서픽스 상자에 새 UPN 서픽스의 이름을 입력하세요.
  6. 추가를 클릭한 다음 확인을 클릭하세요.

Active Directory에 새 사용자 계정을 추가하면 사용자 이름을 설정할 때 목록에 새로운 UPN 서픽스가 표시되어야 합니다.