내 질문은 …
도메인에 새 서버를 추가 할 때 도메인 관리자가 자신이 가진 것 이상으로 권한을 지속적으로 에스컬레이션하는 것을 피하기 위해 도메인에 내장 된 “관리자”계정에 동일한 권한을 도메인 관리자에게 부여하려면 어떻게해야합니까?
편집하다:
이것은 혼란을 일으키는 것으로 보입니다 …
도메인 관리자 그룹이있는 도메인이 있습니다. 새 서버가 있고 방금 도메인에 가입했으며 해당 서버에서 로컬 그룹 “Administrators”에 “Domain Admins”멤버가 있으므로 로그인 할 수 있습니다.
따라서이 서버의 도메인 관리자는 로컬 관리자이기도합니다.
이제 서버에 새 applciation을 설치하고 싶다고 말하면 관리자 권한이 필요합니다.
설치 프로그램을 마우스 오른쪽 단추로 클릭 한 다음 “관리자 권한으로 실행”을 선택하면 일반적인 UAC 대화 상자가 나타납니다.
내 자격 증명을 내 도메인 계정에서 서버에 로그인 할 때 사용한 것과 동일한 자격 증명에 넣었습니다. 그리고 유효성 검사 메시지와 함께 자격 증명을 거부합니다 … “요청한 작업에는 권한 상승이 필요합니다.”
그래서 내 질문은 …
로컬 관리자 그룹의 구성원 인 Domain Admins 그룹에있을 때 상자에서 로컬 관리자 역할을 수행하기에 도메인 관리자 자격 증명이 충분하지 않은 이유는 무엇입니까?
대신 내 계정에 설치 권한이 부여되기 전에 로컬 컴퓨터에서 “Administrator”라는 계정에 대한 권한을 “높이”어야합니다.
답변
Microsoft TechNet 기사 https://technet.microsoft.com/en-us/library/dd759094(v=ws.11).aspx 는 이에 대한 완벽한 답변을 제공합니다. “로컬 관리자”계정조차도 일상적인 일상 활동을 위해 여전히 “표준 사용자”토큰으로 실행된다는 사실과 관련이 있습니다.
사용자 계정 컨트롤에서 “전체 관리자 토큰으로 실행”또는 “높은 토큰으로 실행”이란 무엇입니까?
적용 대상 : Windows Server 2008 R2
응용 프로그램이 로컬 관리자 그룹의 구성원 인 사용자에 의해 시작된 경우에도 응용 프로그램은 일반적으로 표준 사용자 액세스 토큰에 부여 된 액세스 수준으로 실행됩니다. “고급 액세스 토큰으로 실행”이라고도하는 “전체 관리자 액세스 토큰으로 실행”은 애플리케이션이 관리자 보안 식별자 (SID)를 포함하여 사용자의 전체 관리자 액세스 토큰을 사용할 수 있음을 의미합니다.
참고 사용자는 로컬 관리자로 로그온하거나 로컬 관리자 그룹의 구성원에 대한 신임 정보를 제공 할 수 있어야합니다.
참고 :이 문서는 Server 2008 R2에도 적용되지만 모든 최신 Windows 클라이언트 및 서버 버전에도 동일하게 적용됩니다.