보기 또는 활성 디렉토리 위임 된 권한을 제거

이 문서는 최신판 번역이 아닙니다. 관리를 위임하면 권한 있는 그룹(예:도메인 관리자,계정 운영자)에 사용자를 추가하지 않고도 사용자 또는 그룹에 필요한 권한만 부여할 수 있습니다. 위임을 수행하는 가장 간단한 방법은 사용자 및 컴퓨터 스냅인에서 제어 위임 마법사를 사용하는 것입니다.

관련:활성 디렉터리 관리

제어 위임 마법사에서 사용 권한을 쉽게 위임할 수 있지만 위임된 사용 권한을 제거하기 위한 해당 마법사는 없습니다. 마이크로소프트의 누군가는 이 결점을 주의하고 디스 레보크라는 명령줄 프로그램을 창조했음에 틀림없다.제어 위임 마법사에서 추가한 사용 권한 항목을 제거할 수 있습니다.

그러나.exe 프로그램은 두 가지 중요한 기술적 한계,문서화되어 있는 Microsoft”문서를 사용할 때 Dsrevoke 명령행 도구를 보고서에 대한 사용 권한 모든 조직 구성 단위에 윈도우 서버 2003 기반 도메인 도구를 반환하지 않을 수 있습니다 모든 액세스 제어 항목이 있습니다.”이러한 제한 사항은 다음과 같습니다:

  • 데스레보크한 번의 검색으로 최대 1,000 개까지 찾을 수 있습니다. 이 제한 사항에 대한 제안된 해결 방법은 결과 수를 줄이기 위해 더 깊이 중첩된 조직 구성 단위에서 프로그램 검색을 시작하는 것입니다.
  • 디스 레보크.이름에 슬래시(/)문자가 포함 된 경우 실패합니다. 이 제한 사항에 대한 해결 방법은 잘못된 운영 체제의 이름을 바꾸는 것 외에는 없습니다.

디스 레보크로 작업 할 때.최근에,나는 첫 번째 문제를 해결할 수 있었다,그러나 나는 두 번째 문제에 달렸다. 조직적인 이유로 슬래시 문자를 제거하기 위해 이름을 변경하는 것은 옵션이 아닙니다. 또한 슬래시는 유효한 문자입니다.예를 들면 다음과 같습니다. 또한,내 환경에서 1,000 오우 제한 주위에 작업하는 것은 시간이 많이 소요되었다.

이러한 문제 때문에 디스 레보크에 대한 기본 제공 대안이 있는지 확인하기로 결정했습니다.엑스 윈도우의 최신 버전에서 시작.제어 위임 마법사에서 추가한 사용 권한을 제거하는 방법을 제공합니다. 이 경우 슬래시를 사용할 수 없습니다.사용 권한을 검색 할 수 없습니다.예,그렇습니다.

나는 먼저 간단한 스크립트를 작성하여이를 검색하고 호출하기로 결정했습니다.각 권한에서 위임된 권한을 제거합니다. 그러나 이러한 스크립트를 어떻게 디자인하고 싶은지 생각하면서 특정 사용자 또는 그룹에 권한을 위임받은 목록도 보고 싶었습니다. 데스레보크그 이유는 무엇입니까?사용 권한 목록을 생성할 수 있지만 출력은 매우 길고 기술적입니다. 나는 더 간단한 것을 원했다.

디스 레보 크의 제한으로 인해.그 이유는 무엇입니까?나는 내가 원하는 기능을 얻기 위해 윈도우 파워 쉘 스크립트를 작성하기로 결정했다. 이 문제를 해결하려면 다음을 수행하십시오. 이 스크립트를 논의하기 전에,하지만,난 당신이 제어 마법사의 위임뿐만 아니라 커버 몇 가지 기본적인 윈도우 보안 개념을 사용할 때 어떤 일이 발생하는지에 대한 몇 가지 배경 정보를 제공해야합니다.

마법사를 사용하여 위임된 사용 권한 추가

앞에서 언급했듯이 제어 위임 마법사는 사용 권한을 쉽게 위임할 수 있는 방법을 제공합니다. 예를 들어 암호 재설정 그룹의 구성원이 광고 도메인에 있는 모든 사용자의 암호를 재설정할 수 있도록 하려는 경우를 가정해 보겠습니다. 이렇게 하려면 다음 단계를 수행해야 합니다:

  1. 활성 디렉터리 사용자 및 컴퓨터 콘솔을 엽니다.
  2. 그림 1 과 같이 모든 사용자를 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다. 다음 단추를 클릭하여 마법사의 시작 페이지를 지나갑니다.

그림 1:제어 위임 마법사 시작

  1. 마법사의 사용자 또는 그룹 페이지에서 추가 단추를 클릭합니다.
  2. 사용자,컴퓨터 또는 그룹 선택 대화 상자에서 그룹 이름(암호 재설정)을 입력하고 이름 확인 단추를 클릭하여 그룹 이름이 올바른지 확인한 다음 그림 2 와 같이 확인을 클릭합니다.
그림 2:그룹 이름 입력
그림 2:그룹 이름 입력
  1. 사용자 또는 그룹 페이지에 그룹 이름이 나열되어 있는지 확인한 후 그림 3 과 같이 다음을 클릭합니다.
그림 3:그룹 이름이 나열되어 있는지 확인
그림 3: 그룹 이름이 나열되어 있는지 확인
  1. 위임할 작업 페이지에서 그림 4 와 같이 사용자 암호 다시 설정 및 다음 로그온 시 암호 변경 강제로 설정을 선택하고 다음을 클릭합니다.
그림 4:위임할 작업 선택
그림 4:위임할 작업 선택
  1. 마법사의 마지막 페이지에서 정보를 확인하고 마침을 클릭합니다.

마침 단추를 클릭하면 제어 위임 마법사가 요청된 사용 권한을 모든 사용자에게 추가합니다. 모든 사용자를 마우스 오른쪽 단추로 클릭하고 속성을 선택한 다음 보안 탭을 선택하여 위임의 효과를 볼 수 있습니다. 보안 탭이 표시되지 않으면 활성 디렉터리 사용자 및 컴퓨터 콘솔의 보기 메뉴에서 고급 기능 옵션을 사용하도록 설정합니다.)상세보기를 들어,고급 버튼을 클릭 할 수 있습니다. 그림 5 는 나타나는 고급 보안 설정 대화 상자를 보여 줍니다.그림 5:모든 사용자에 대한 데이터 액세스 검토 그림 5:모든 사용자에 대한 데이터 액세스 검토 그림 5:모든 사용자에 대한 데이터 액세스 검토 그림 5:모든 사용자에 대한 데이터 액세스 검토 그림 5:모든 사용자에 대한 데이터 액세스 검토 그림 5:모든 사용자에 대한 데이터 액세스 검토 그림 5:모든 사용자에 대한 데이터 액세스 검토 그림 5:모든 사용자에 대한 데이터 액세스 검토

고급 보안 설정 대화 상자에서 제공되는 정보를 이해하려면 다음 보안 개념에 대해 알아야 합니다. 또한 제거를 사용하려면 이러한 개념을 이해해야 합니다.

이 두 가지 유형이 있습니다:재량 식(재량 식)과 시스템 식(재량 식). 개체에 대한 액세스가 허용되거나 거부된 계정을 식별합니다. 관리자는 개체 액세스 시도(예:감사)를 기록하는 방법을 설명합니다.

에이스. 에이스로 구성되어 있습니다. 각 에이스는 수탁자를 식별하고 개체에 대한 수탁자의 액세스(허용,거부 또는 감사)를 지정합니다. 컨트롤 위임 마법사는 에이스를 광고 컨테이너에 추가합니다. 그림 5 는 모든 사용자에 대한 데이터를 보여줍니다. 이 그림에서 권한 항목이라는 용어는 에이스와 동의어입니다.

수탁자. 수탁자는 에이스가 적용되는 엔티티(사용자,보안 그룹 또는 로그온 세션)입니다. 각 에이스는 단일 수탁자에게 적용됩니다. 그림 5 에서 주체라는 용어는 수탁자와 동의어입니다. 그림 5 는 암호 재설정 그룹에 할당 된 두 개의 에이스가 있음을 보여줍니다. 즉,암호 재설정 그룹은이 두 에이스의 수탁자(교장)입니다.

상속. 에이스는 개체에 직접 적용 할 수 있습니다,또는 자원의 부모 개체에서 상속 할 수 있습니다. 그림 5 에서 관리자로 암호 재설정 그룹을 포함하는 모든 사용자에 대한 두 개의 에이스는 부모 컨테이너에서 상속되지 않습니다(즉,상속된 항목에서 열을 읽지 않음). 그림 6 은 회계 회계 업무를 보여줍니다. 암호 재설정 그룹에 대한 두 개의 에이스가 포함되어 있지만 이러한 에이스는 모든 사용자로부터 상속됩니다.2015 년 11 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년 12 월 15 일,2015 년:

  • 수탁자가 포함 된 상속되지 않은 에이스를 포함하는 것을 찾으십시오.
  • 요청 시 하위 출력으로 재귀합니다.
  • 수탁자가 포함 된 상속되지 않은 에이스를 제거하십시오.
  • 간결한 출력을 생성합니다.

스크립트의 구문은 다음과 같습니다:

Remove-DSACE path 

보고서 또는 제거 매개 변수는 스크립트가 상속되지 않은 에이스를 나열하거나 제거할지 여부를 결정합니다. 당신이 지정하는 경우-보고서,스크립트는 수탁자를 포함하는 상속되지 않은 에이스를 발견,하지만 그들을 제거하지 않습니다. 당신이 지정하는 경우-제거,스크립트는 상속되지 않은 에이스를 제거. 이 스크립트는 수탁자에 대한 모든 비 상속 에이스를 제거하는 것을 이해하는 것이 매우 중요합니다,뿐만 아니라 제어 마법사의 위임에 의해 추가 에이스. 상속되지 않은 에이스가 추가 된 방법을 결정하는 방법이 없기 때문입니다.

보고서 및 제거 매개 변수는 선택 사항이지만 스크립트는 기본적으로 보고서 매개 변수를 가정합니다. 두 매개 변수를 동시에 지정하면 스크립트에서 오류가 발생합니다.

-경로 매개 변수를 사용하여 하나 이상의 고유 이름을 지정합니다. -경로 매개 변수 이름은 선택 사항이며 파이프라인 입력을 허용합니다. 와일드카드를 사용할 수 없습니다.

-수탁자 매개 변수는 에이스에서 찾을 수탁자의 이름을 지정합니다. 이 스크립트는 명명 된 수탁자가 포함 된 상속되지 않은 에이스에 대해 각 오우 다클을 검사합니다. 쉼표로 구분된 목록이나 배열을 사용하여 여러 관리위원회를 지정할 수 있지만 와일드카드는 사용할 수 없습니다. 표 1 에 나열된 이름 형식을 사용하여 수탁자 이름을 지정할 수 있습니다.

형식
표 1: -수탁자 매개 변수의 이름 형식
다음 예제에서는 다음과 같이 설명합니다.
이 매개 변수를 사용하여 사용자 정의 할 수 있습니다.
개체의 정식 이름 fabrikam.com/Users/Ken 다이어는
개체의 사용자 주체 이름)

이 매개 변수에는 지정된 매개 변수 아래에 있는 매개 변수를 검색하려는 경우-재귀 매개 변수가 포함됩니다. 특정 도메인 컨트롤러에 연결하려는 경우
-서버 이름 매개 변수를 사용하여 서버 이름을 지정할 수 있습니다. -재귀 및-서버 이름 매개 변수는 모두 선택 사항입니다.

스크립트는 대체 자격 증명을 지원합니다. 이 개체는 스크립트가 도메인에 연결하는 데 사용해야 하는 사용자 이름과 암호를 포함합니다.

스크립트도-확인 매개 변수를 지원합니다. -확인 매개 변수는-제거 매개 변수와 함께만 의미가 있습니다. -확인 매개 변수는-확인:$거짓 또는$확인 기본 설정 변수를 없음으로 설정하여 사용하지 않도록 설정하지 않는 한 기본적으로 사용됩니다. 당신은 당신이 올바른 에이스를 제거하고 절대적으로 확신 할 때-확인 매개 변수를 비활성화해야합니다.

스크립트는 표 2 에 나열된 속성을 포함하는 출력 개체를 생성합니다.

속성 설명
표 2:출력 개체 속성.1
수탁자 도메인\이름 형식의 수탁자 이름
에이스
결과* “제거됨”이라는 단어 또는 오류 메시지
*결과 속성은-제거 매개 변수를 사용할 때만 존재합니다.

이 스크립트에는 수탁자가 포함 된 상속되지 않은 에이스 만 포함됩니다. 수탁자에 대한 상속 에이스는 출력에 포함되지 않습니다. 그림 7 은 두 가지 예를 보여줍니다. 그림 7 의 첫 번째 명령은 암호 재설정 그룹에 대한 상속되지 않은 에이스를 포함하지 않기 때문에 출력을 생성하지 않습니다. (회계 오우 암호 재설정 그룹에 대한 두 개의 에이스가 있습니다,그러나이 에이스는 모든 사용자 오우에서 상속,그림에서와 같이 6.)그림 7 의 두 번째 명령은 출력을 생성합니다. 모든 사용자 오우에서 암호 재설정 그룹에 대한 두 개의 비 상속 에이스가 있습니다(그림 5 에서 볼 수 있듯이).

그림 7:두 명령의 출력 비교
그림 7: 두 명령의 출력 비교

실제 사례

실제 사례에서 제거를 사용하는 방법을 살펴보겠습니다. 는 파브리캠의 관리자가 가정하자.로컬 도메인은 제어 위임 마법사를 사용하여 모든 사용자의 비서 직원 그룹 및 그 아래에 있는 직원 중 일부에게 권한을 위임했지만 어떤 사용자인지 기억하지 못합니다. 다른 그룹에 권한을 위임할 수 있도록 이러한 위임된 사용 권한을 제거해야 합니다.

먼저,비서 직원 그룹을 포함하는 비 상속 에이스가있는 회사 목록을 볼 필요가 있습니다. 이렇게 하려면 다음 명령을 사용할 수 있습니다:

Remove-DSACE -Report ` -Path "OU=All Users,DC=fabrikam,DC=local" ` -Trustee "FABRIKAM\Secretarial_Staff" ` -Recurse | Format-List

이 명령과 출력은 그림 8 에 나와 있습니다.

그림 8:비서 직원 그룹을 포함하는 비계승 에이스가 있는 회사 목록
그림 8:비서 직원 그룹을 포함하는 비계승 에이스가 있는 회사 목록

이 출력에서 비서 직원 그룹을 포함하는 비계승 에이스가 있는 회사 세 곳이 있음을 알 수 있습니다. 당신은 당신이 에이스를 제거 할 수 있음을 확인한 후,당신은-제거 매개 변수와 보고서 매개 변수를 대체하고 명령을 반복 할 수 있습니다,그림과 같이 9. 앞서 언급했듯이 비서 직원 그룹에 제어 위임 마법사 이외의 다른 권한이 할당 된 경우 해당 권한도 제거됩니다.

그림 9:비서 직원 그룹을 포함하는 상속되지 않은 에이스가 있는 회사 제거
그림 9: 비서실 직원 그룹이 포함된 상속되지 않은 에이스가 있는 회사 제거

광고 위임 제어 권한

제어 위임 마법사는 매우 유용한 도구이지만 그 효과를 빠르게 보거나 되돌릴 수 있는 쉬운 방법은 없습니다. 당신은 사용할 수 있지만.그 이유는 무엇입니까?이러한 작업을 수행하려면 이러한 도구에는 몇 가지 제한 사항이 있습니다. 대신 제거 스크립트를 사용하는 경우,당신은 광고에 위임 된 권한을 더 잘 제어 할 수 있습니다. 페이지 상단 근처의 코드 다운로드 버튼을 클릭하여이 스크립트를 다운로드 할 수 있습니다.

브라이언 데스몬드의 관련 동영상:
세션 1:액티브 디렉토리 권한 마스터링 위임
세션 2:액티브 디렉토리 보안 권한 마스터링 위임

Leave a Reply