Dcgpofix 도구는 기본 도메인 컨트롤러 정책의 보안 설정을 원래 상태로 복원하지 않습니다.
이 문서에서는 Dcgpofix 도구가 Dcpromo를 성공적으로 완료한 후와 동일한 상태로 기본 도메인 컨트롤러 정책의 보안 설정을 복원하지 않으며 재해 복구 시나리오에서만 이 도구를 사용하는 것이 가장 좋다고 설명합니다.
적용 대상: Windows Server 2012 R2
원본 KB 번호: 833783
증상
Dcgpofix.exe 도구에 대한 설명서는 Dcgpofix 도구가 Dcpromo가 성공적으로 완료된 직후와 동일한 상태로 기본 도메인 컨트롤러 정책의 보안 설정을 복원한다는 것을 잘못 나타냅니다. 그렇지 않습니다.
재해 복구 시나리오에서만 Dcgpofix 도구를 사용하는 것이 가장 좋습니다. Dcpromo 작업은 해당 서버의 기존 보안 설정에 따라 증분 방식으로 도메인의 보안을 수정합니다. 따라서 Dcpromo를 실행한 후 기본 도메인 컨트롤러 정책의 최종 보안 설정 집합은 Dcpromo 작업과 Dcpromo를 실행하기 전에 존재하던 시스템의 보안 상태에 따라 달라집니다. Dcpromo를 실행하기 전에 여러 메커니즘을 통해 시스템의 보안 상태를 수정할 수 있습니다. 예를 들어 일부 서버 애플리케이션을 설치할 때 SUPPORT_388945a0 계정과 같은 로컬 사용자 계정에 부여된 사용자 권한이 변경될 수 있습니다.
원인
Dcgpofix 도구는 Dcpromo를 실행하기 전에 보안 설정의 상태를 알 수 없습니다. 따라서 Dcgpofix 도구는 보안 설정을 원래 상태로 정확하게 반환할 수 없습니다. 대신 Dcgpofix 도구는 두 개의 기본 그룹 정책 개체(GPO)를 다시 만들고 Dcpromo 중에만 수행되는 작업에 따라 설정을 만듭니다.
새 Windows Server 설치가 있고 Dcpromo를 실행하기 전에 운영 체제에 대한 보안 변경 사항이 없는 경우 Dcgpofix에서 만든 다시 만든 기본 도메인 컨트롤러 정책은 Dcpromo를 실행한 직후의 기본 도메인 컨트롤러 정책과 거의 동일합니다. 그러나 이 경우 기본 도메인 컨트롤러 정책의 설정에 몇 가지 차이점이 있습니다.
해결 방법
기본 도메인 정책 및 기본 도메인 컨트롤러 정책 및 다른 GPO에 대한 일반적인 백업 및 복원의 경우 GPMC(그룹 정책 관리 콘솔)를 사용하여 이러한 GPO의 정기적인 백업을 만드는 것이 좋습니다. 그런 다음 이러한 백업과 함께 GPMC를 사용하여 이러한 GPO에 포함된 정확한 보안 설정을 복원할 수 있습니다.
재해 복구 시나리오에 있고 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책의 백업된 버전이 없는 경우 Dcgpofix 도구를 사용하는 것이 좋습니다. Dcgpofix 도구를 사용하는 경우 실행하는 즉시 이러한 GPO의 보안 설정을 검토하고 요구 사항에 맞게 보안 설정을 수동으로 조정하는 것이 좋습니다. Microsoft는 GPMC를 사용하여 사용자 환경의 모든 GPO를 백업하고 복원하는 것이 좋습니다. Dcgpofix 도구는 환경을 기능 상태로만 복원하는 재해 복구 도구입니다. GPMC를 사용하는 백업 전략의 대체 용도로 사용하지 않는 것이 가장 좋습니다. 기본 도메인 정책 및 기본 도메인 컨트롤러 정책에 대한 GPO 백업이 없는 경우에만 Dcgpofix 도구를 사용하는 것이 가장 좋습니다.
추가 정보
다음 표에서는 Dcgpofix 도구를 실행한 후 기본 도메인 컨트롤러 정책의 보안 설정과 Dcpromo를 실행한 후 Windows Server의 새 설치에 대한 설정의 차이점을 나열합니다. Dcgpofix 도구를 실행한 후 환경의 요구 사항에 맞게 이러한 보안 설정을 조정하는 것이 좋습니다.
| 기본 도메인 컨트롤러 정책에서 설정 | 새로 설치된 Windows Server에서 DCPromo를 실행한 후의 값 | DCGPOFIX를 실행한 후의 값 |
|---|---|---|
| 감사 설정 | ||
| 계정 관리 감사 | 성공 | 감사 없음 |
| 디렉터리 서비스 액세스 감사 | 성공 | 감사 없음 |
| 감사 정책 변경 | 성공 | 감사 없음 |
| 시스템 이벤트 감사 | 성공 | 감사 없음 |
| 사용자 권한 | ||
| 전역 개체 만들기 | 정의되지 않음 | SERVICE, 관리자 |
| 네트워크에서 컴퓨터에 대한 액세스 거부 | SUPPORT_388945a0 | (비어 있음) |
| 로컬로 로그온 거부 | SUPPORT_388945a0 | (비어 있음) |
| 인증 후 클라이언트 가장 | 정의되지 않음 | SERVICE, 관리자 |
| 디바이스 드라이버 로드 및 언로드 | 관리자, 인쇄 연산자 | 관리자 |
| 일괄 작업으로 로그온 | LOCAL SERVICE, SUPPORT_388945a0 | (비어 있음) |
| 서비스로 로그온 | NETWORK SERVICE | (비어 있음) |
| 시스템 종료 | 관리자, 백업 연산자, 서버 연산자, 인쇄 연산자 | 계정 연산자, 관리자, 백업 연산자, 서버 연산자, 인쇄 연산자 |
Dcgpofix 도구를 실행하면 다음 설정이 변경됩니다.
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
구성 옵션에 따라 다음 설정도 변경할 수 있습니다.
- SeBatchLogonRight(SUPPORT_388945a0 계정이 아닌 로컬 서비스만 해당)
- SeServiceLogonRight
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기