IT 인프라/서버

AD 사용자 컴퓨터 호스트네임 변경 금지 및 도메인 탈퇴 제한 정책

시큐렛 2021. 9. 10. 09:52

회사 내부의 PC의 호스트네임으로 사용자 및 PC관리할때 사용자가 임의로 호스트네임을 변경을 하면 추적하기 힘들 수 있고 AD정책을 내렸는데 사용자가 AD를 탈퇴를 한다면 무용지물이 된다.

 

이를 막기 위한 정책으로 보안설정을 통해 지정된 사용자만이 컴퓨터 이름 및 도메인 탈퇴를 할 수있도록 설정을 할 수있다.

 

테스트 환경 :

서버 : Windows Server 2012 R2 / 클라이언트 : Windows 10 pro

 

작업내용 :

1. 그룹 정책 관리에서 정책 생성 또는 편집

2. 편집기에서 컴퓨터 구성 > 정책 > Windows설정 > 보안설정 > 파일 시스템으로 이동

3. 우클릭 후 폴더경로를 %systemroot%\system32\netid.dll 입력 후 파일 추가

4. 보안 대상 구성 창에서 호스트네임, 도메인 탈퇴를 관리 할 수 있는 사용자를 구성

5. 개체 추가를 상속 가능한 사용 권한을 모든 하위 폴더 및 파일에 전파로 설정

 

우선 윈도우 2012 서버의 그룹 정책 관리로 이동하여 적용할 OU를 선택하고 정책을 생성 또는 편집을 한다.

파일 시스템 정책

그룹 정책 관리 편집기의 다음 경로로 이동하여 파일 추가 준비를 한다.

경로 : 컴퓨터 구성 > 정책 > Windows설정 > 보안설정 > 파일 시스템

 

마우스 우클릭 및 파일 추가를 눌른 후 폴더 경로를 %systemroot%\system32\netid.dll 입력 후 확인을 한다.

이후 컴퓨터이름 및 도메인탈퇴 관리를 할수 있는 사용자를 구성하여 권한을 준 후 적용을한다.

기본 값으로 확인을 하면 정책이 잘 설정인 된 것 이다.

 

이후 AD에 조인된 클라이언트 PC에서 정책을 업데이트(gpupdate /force) 한후 테스트를 해보면 된다.

컴퓨터 이름 바꾸기시 위 사진처럼 컴퓨터 이름을 변경할 권한이 있는 계정정보를 요구한다.

위 정책대로라면 Domains Admins 그룹의 사용자 계정정보를 입력하지 않으면 변경이 제한된다.

또한 도메인 탈퇴 시 컴퓨터 이름 탭이 완전 삭제되었으며 파워쉘 스크립트로 탈퇴할 경우에도 계정정보를 물어본다.