AZ-800 (관리)

<Windows Server 보안 관리 수행>

• 1. 보안 주체 식별
  On premise 환경에서는 어떤 보안 주체(사용자 및 그룹)가 어느 관리 그룹에 속할지 정해야 한다.

관리 그룹

1. Administrator
   = AD에도 있고 local에도 있다.
2. Domain Admins
   = AD DS 포리스트에 있는 모든 도메인의 Users 폴더에 위치.
   해당 구성원은 로컬 도메인 내 모든 관리 작업 수행이 가능. 
   기본적으로 로컬 도메인의 Administrator 사용자 계정만 Domain Admins에 속함.
   AD에 있는 Domain Admins가 local의 Administrator 그룹에 속하게 된다.
3. Enterprise Admins
   = AD DS 포리스트 root 도메인의 Users 폴더에 위치.
   Enterprise admins 는 하위 domain을 관리할 수 있다.
   만약 domain에 속한 각 컴퓨터 관리를 하고 싶다면 Enterprise Admins 그룹을 각 domain의 Administrator 그룹에 넣으면 된다.
4. Schema Admins
   = 스키마 수정, 삭제 권한

 

• 2. 최소 권한 관리
  "최소 권한" = 특정 작업이나 작업 역할을 수행하는 데 필요한 권한으로만 액세스 권한을 제한
  (적용 대상: 사용자 계정, 서비스 계정, 컴퓨팅 프로세스)
  
  
• 3. 권한 위임
  Administrator 계정에서 특정 사용자 또는 그룹에게 특정 권한을 위임한다
  제어 위임 마법사를 통해 더욱 세부적인 권한을 위임할 수있다.
  
  
• 4. PAW (Priviliged Access Workstation) 
  ID 시스템, 클라우드 서비스 및 기타 중요한 기능 관리와 같은 관리 작업을 수행하는 데 사용할 수 있는 컴퓨터
  
  
• 5. 점프 서버
  내부 네트워크와 다른 보안 영역에서 디바이스에 액세스하고 관리하는 데 사용되는 강화된 서버
  

<Windows Server 관리 도구>

• Windows Admin Center
• Server Manager
• RSAT(원격 서버 관리 도구)
• Windows PowerShell - 서버 원격 관리

실습 )
1. Windows Admin Center 설치
아래 2개의 명령어로 명령 프롬프트에서 admin center를 다운로드하고 설치한다.

-  Start-BitsTransfer -Source https://aka.ms/WACDownload -Destination "$env:USERPROFILE\Downloads\WindowsAdminCenter.msi"
-  Start-Process msiexec.exe -Wait -ArgumentList "/i $env:USERPROFILE\Downloads\WindowsAdminCenter.msi /qn /L*v log.txt REGISTRY_REDIRECT_PORT_80=1 SME_PORT=443 SSL_CERTIFICATE_OPTION=generate"

2. 접속 및 관리할 서버 추가

관리자 컴퓨터의 도메인으로 Admin Center에 접속한다.

Overview를 보면 전체적인 컴퓨터 사용량 등이 보인다.

관리 서버 추가를 위해 상단 메뉴바의 Add, Servers Add를 눌러 추가해준다.

서버 추가

3. 원격 접속
왼쪽 하단의 Settings - Remote Desktop 설정을 Allow하면 원격접속이 가능하다.

4. Powershell로 Server 원격 관리

접속 후 서비스 상태 확인

서비스 시작