Windows Server

Active Directory에 가입된 컴퓨터의 로컬 계정 암호 변경

delmaster 2015. 8. 27. 07:53

도메인 PC 로컬 계정 암호 변경

도메인 컴퓨터 로컬 Admin 암호 변경

 

Active Directory 환경을 운영하며 보안과 관련된 여러가지를 관리해야할때

도메인에 가입된 PC의 로컬 관리자(일반적으로 Administrator) 계정에 대한 패스워드 변경 이슈가 발생됩니다.

특히 로컬 계정은 일반 적으로 사용할 일이 그렇게 많지 않으나,

PC에 존재하는 계정으므로 공격 받을 가능성은 항상 존재 합니다.

그렇기 때문에 강력한 패스워드를 지정하여 로컬계정이 패스워드 공격에 취약하지 않게 보호해야겠습니다.

 

이전 버전(2008R2) 까지의 DC라면 그룹 정책을 통해 변경이 가능했으나

2012버전부터 보안상의 이유로 정책에서 패스워드 업데이트 기능이 사용 불가능하게 변경 되었습니다.

이에 따라 아래의 스크립트를 활용하여 도메인에 가입된 로컬 PC의 로컬 계정에 대한 패스워드를 변경 해 줄수 있겠습니다.

 



[스크립트 다운로드]







[스크립트를 사용하여 로컬 컴퓨터 패스워드 변경 방법]



1. AD 사용자 및 컴퓨터 콘솔에서 컴퓨터가 저장된 OU 우클릭 후 해당 목록 내보내기







2. 목록을 원하는 경로에 저장

(예제에서는 바탕화면에 'PC목록' 이라는 이름으로 저장)







3. 아래와 같이 컴퓨터 이름과 종류, 설명이 내보내기됩니다.







4. 컴퓨터 이름만 남기고 모두 삭제.

(컴퓨터가 많다면 액셀에서 불어오기 한 뒤 컴퓨터 이름이 있는 셀만 다시 저장하면됩니다.) 







5. 파워쉘을 '관리자' 권한으로 실행 시키고 다운받은 스크립트가 있는 경로로 이동 합니다.

 (예제에서는 바탕화면)







6. 다운받은 스크립트를 Import 합니다.






7. 아래와 같이 지정

- ComputerName : 컴퓨터 이름이 저장된 파일을 지정

- LocalAccounts : 패스워드를 변경할 로컬 계정을 입력

- TsvFileName : 암호화된 패스워드를 저장할 파일명 지정

- EncryptionKey : 암호화된 패스워드를 복호화할때 사용할 암호 지정







8. 명령 실행 시 다음과 같이 켜져있는 PC(혹은 작업 가능한PC)는 노란색 글자 부분처럼 처리되며,

   작업 불가능한 PC는 붉은 글씨로 작업 실패 예상 원인을 보여 줍니다.

   노란색 글자가 뜬 PC는 성공되었다고 보면 됩니다.







9. 작업이 완료되면 해당 패스워드가 텍스트 파일로 저장되어 있는 것을 확인 할 수 있습니다.








10. 해당 파일의 내용을 살펴보면 administrator 계정의 패스워드가 암호화되어 저장된 것을 확인 할 수 있으며,

    스크롤을 우측으로 이동하면 어떤 PC인지 PC의 이름이 나옵니다.







11. 다음과 같이 PC 이름을 확인 할 수 있습니다.










[암호화된 패스워드를 확인하는 방법(복호화)]


1. 파워쉘을 관리자 권한으로 실행 시키고 스크립트를 Import 합니다.

   이후, ConvertTo-CleartextPassword 명령에 옵션을 부여해 암호화된 패스워드를 복호화하여 

   실제 반영된 패스워드를 확인 할 수 있습니다.

- EncryptionKey : 패스워드를 지정할때 사용했던 암호

- EncryptedPassword : 암호화된 패스워드 패스워드







2. 해당 내용으로 실행하게 되면 암호화된 패스워드의 원래 암호를 확인 할 수 있습니다.






3. 필요하다면 상기와 같이 복호화 하여 로컬 계정으로 로그인 할 수 있겠습니다.




'Windows Server' 카테고리의 다른 글

Exchange Server 2016 출시  (0) 2015.10.02
FTP Mode  (0) 2015.09.10
DHCP 사용자 클래스 구성  (0) 2015.09.01
WSUS  (0) 2015.08.28
Active Directory에 가입된 컴퓨터의 로컬 계정 암호 변경  (1) 2015.08.27
CMD 명령으로 IP 구성정보 변경  (0) 2015.08.20
Group OU 차이점  (0) 2015.08.18
기본 공유 / 관리 공유  (0) 2015.08.17
Network Load Balancing  (0) 2015.07.29