기술 자료: 980285 - 마지막 검토: 2010년 2월 11일 목요일 - 수정: 1.1

Step by Step: Windows Server 2008 도메인에서 세분화된 암호 정책 사용

시스템 팁본 문서의 내용은 귀하가 사용하는 운영 체제와 다른 운영 체제에 해당합니다. 문서 내용 중 귀하와 관련 없는 부분은 표시되지 않습니다.

개요

Windows Server 2000과 Windows Server 2003 Active Directory 도메인에서는 오직 하나의 암호 정책과 계정 잠금 정책을 도메인의 모든 사용자에 적용해야만 했습니다. 반면 Windows Server 2008은 도메인의 사용자 및 사용자 그룹 단위로 서로 다른 암호 정책, 계정 잠금 정책을 적용할 수 있게 되었습니다.

이 문서에서는 Windows Server 2008의 세분화된 암호 정책 사용 방법에 대해 설명합니다.

위로 가기

고려 사항

세분화된 암호 정책을 적용하기 위해서는 Windows Server 2008이 도메인 기능 수준이어야 합니다. 그리고 조직 구성 단위(OU)에 직접 정책을 적용할 수 없고 사용자 개체나 글로벌 보안 그룹에 적용할 수 있습니다. 좀 더 자세한 내용은 아래 문서를 참고하실 수 있습니다.

AD DS: 세분화된 암호 정책 (http://technet.microsoft.com/ko-kr/library/cc770394(WS.10).aspx)

위로 가기

적용 방법

다음 방법을 순서대로 따라 해 보세요.

[시작] , [실행]을 차례대로 클릭한 다음 adsiedit.msc를 입력하고 [확인]을 클릭합니다.
[ADSI 편집]을 마우스 오른쪽 단추로 클릭하고 [연결 대상]을 클릭합니다.
그림 축소그림 확대
[확인]을 클릭합니다.
기본 명명 컨텍스트 \ DC=yourdomain,DC=com\CN=System\CN=Password Settings Container\로 트리 메뉴를 확장합니다.

[Password Settings Container]를 마우스 오른쪽 단추로 클릭한 후 [새로 만들기], [개체]를 차례대로 클릭합니다.

그림 축소그림 확대

표 축소표 확대

그림 축소그림 확대

다음 단계에서 입력하는 각 값은 이해를 돕기 위해 임의로 설정한 값입니다. 사용자 환경에 맞게 수정하시기 바랍니다. 각 특성 값의 정확한 이해를 위해 아래 문서의 단계 1을 참고하시기 바랍니다.

세분화된 암호 및 계정 잠금 정책 구성의 단계별 가이드 (http://technet.microsoft.com/ko-kr/library/cc770842(WS.10).aspx)

msDS-PasswordSettings를 선택하고 [다음]을 클릭합니다.
특성: cn에서 값에 "CustomPasswordSettings"를 입력하고 [다음]을 클릭합니다(혹은 입력하려는 Password Settings Object 이름을 입력합니다).
특성: msDS-PasswordSettingsPrecedence에서 값으로 10을 입력하고 [다음]을 클릭합니다.(여기에는 0보다 큰 값을 입력해야 합니다. 만약 여러 개의 PSO(암호 설정 개체)가 있다면 낮은 숫자의 PSO가 우선 순위를 갖습니다).
암호 설정을 위한 다음 값을 적절한 값으로 입력합니다.
- msDS-PasswordReversibleEncryptionEnabled (해독 가능한 암호화를 사용하여 암호 저장)
  Value = False
- msDS-PasswordHistoryLength (최근 암호 기억)
  Value= 15
  (domain default: 24)
- msDS-PasswordComplexityEnabled (암호는 복잡성을 만족해야 함)
  Value = True
- msDS-MinimumPasswordLength (최소 암호 길이)
  Value = 12
  (domain default: 7)
- msDS-MinimumPasswordAge (최소 암호 사용 기간)
  Value = 1:00:00:00 (1 day)
  (domain default: 1:00:00:00)
- msDS-MaximumPasswordAge (최대 암호 사용 기간)
  Value = 42:00:00:00 (42 days)
  (domain default:421:00:00:00)
계정 잠금 정책을 위한 아래 값을 입력합니다.
- msDS-LockoutThreshold (계정 잠금 임계값)
  Value = 0
  (domain default: 0 = 잘못된 암호 입력시 계정 잠금을 하지 않음)
- msDS-LockoutObservationWindow (다음 시간 후 계정 잠금 수를 원래대로 설정)
  Value =0:00:06:00 (6 minutes)
  (domain default: 6 min)
- msDS-LockoutDuration (계정 잠금 기간)
  Value = 0:00:06:00 (6 minutes)
  (domain default: 6 min)
[마침]을 클릭합니다. 정상적으로 입력된 경우 아래와 같은 PSO를 확인할 수 있습니다.
그림 축소그림 확대

이제 사용자 혹은 그룹에 생성한 PSO를 적용합니다. 이 작업을 위해서는 PSO 개체에 대한 “Write” 권한이 있어야 합니다.

[시작], [관리 도구], [Active Directory 사용자 및 컴퓨터]를 차례대로 클릭합니다.
보기 메뉴에서 [고급 기능]을 선택하여 체크합니다.
콘솔 트리에서 Active Directory 사용자 및 컴퓨터\yourdomain\System\Password Settings Container를 확장합니다.
오른쪽 상세 화면에 앞서 생성한 PSO 개체를 오른쪽 클릭하고 [속성]을 클릭합니다.
[특성 편집기]를 클릭합니다.