정보보안 관련
AD Domain Admins 그룹 권한으로 할수 있는 것들
호레
2025. 4. 8. 18:59
반응형
🎯 Domain Admins 그룹이 가지는 권한 요약
범위권한 내용
| 도메인 전체 | 모든 OU(조직 단위), 사용자, 그룹, 컴퓨터에 대한 읽기/쓰기/삭제 권한 |
| 모든 도메인 가입 컴퓨터 (서버 포함) | 로컬 관리자 권한 자동 부여됨 |
| GPO(그룹 정책) | 생성, 수정, 삭제, 링크 등 전체 관리 가능 |
| Active Directory | 모든 객체(사용자, 그룹, 컴퓨터, GPO 등) 생성/수정/삭제 가능 |
| 도메인 컨트롤러 접근 | 완전한 관리자 권한으로 접근 가능 |
| AD DNS 관리 | 도메인 내 DNS 설정까지 포함해서 제어 가능 |
| 원격 접속 | 도메인에 가입된 모든 컴퓨터에 RDP 가능 (기본 설정 시) |
| 암호 재설정 | 누구의 비밀번호든 초기화 가능, 계정 잠금 해제 가능 |
🧠 부연 설명
✅ 자동으로 로컬 관리자 권한 부여됨
- Domain Admins에 속하면, 도메인에 가입된 모든 PC/서버의 로컬 Administrators 그룹에 자동 추가돼.
- 즉, 별도로 로컬에서 추가하지 않아도 바로 관리자 권한 갖고 작업 가능.
✅ GPO, DNS, FSMO 역할 포함 제어 가능
- 도메인의 구조 자체를 바꾸거나 FSMO 역할을 이동시키는 등 도메인 컨트롤러 레벨의 작업도 가능해.
✅ 위험도도 높음 (보안적으로)
- 이 계정이 유출되거나 잘못 사용되면, 전체 도메인 마비도 가능하니까 보안적으로 매우 민감한 권한.
⚠️ 실무에서는 이렇게 관리해
항목실무 운영 방식
| Domain Admins | 최소한의 사람만 포함 (보통 보안 팀/IT 관리자) |
| 작업 필요할 때만 일시적으로 넣고, 끝나면 빼기 | ✅ 권장 |
| 업무용 계정과 관리용 계정 분리 | 예: honggildong / admin_honggildong |
| 로그 모니터링 | Domain Admin으로 로그인된 기록은 특별히 감시함 |
🛠️ 내가 이 권한으로 할 수 있는 건?
작업 예시가능 여부
| 다른 사람 비밀번호 초기화 | ✅ |
| 어떤 PC든 원격 RDP 접속 | ✅ |
| GPO 추가/삭제 | ✅ |
| 도메인 가입/탈퇴 | ✅ |
| AD 사용자 계정 잠금 해제 | ✅ |
| 도메인 컨트롤러 재시작 | ✅ (주의!) |
반응형