관리 콘솔의 역할 기반 액세스 제어를 사용하여 어떤 Active Directory 사용자에게 어떤 관리 권한이 부여되는지를 결정할 수 있습니다.

이러한 역할 및 관련 권한에 따라 사용자가 관리 콘솔을 사용하여 수행할 수 있는 관리 작업이 결정됩니다. 관리 콘솔의 기능 및 요소에 대한 가시성은 사용자의 Active Directory 계정에 할당된 역할을 통해 제어됩니다. 예를 들어, 헬프 데스크 읽기 전용 관리자 역할에 할당된 Active Directory 그룹의 사용자는 최종 사용자의 사용자 카드로 이동하고 정보를 볼 수 있지만 데스크톱에 대한 작업을 수행할 수는 없습니다. 헬프 데스크 관리자 역할에 할당된 Active Directory 그룹의 사용자는 사용자 카드로 이동하고 문제 해결 작업을 수행하고 정보를 볼 수 있습니다. 조직의 해당 Active Directory 그룹에 포함된 사용자가 관리 콘솔의 두 번째 로그인 화면에 로그인하고 관리 작업에 액세스할 수 있으려면 먼저 해당 그룹에 역할을 할당해야 합니다.

사전 요구 사항

경고: 기존 Active Directory 그룹에 역할을 할당하기 전에 Active Directory 그룹의 사용자 계정 멤버 자격을 검토하여 사용자 계정이 이러한 역할 중 하나만 수신하도록 합니다. 필요한 경우 특정 Active Directory 그룹을 생성합니다. 이러한 역할은 Active Directory 그룹 수준에서 할당되기 때문에 사용자의 Active Directory 계정이 두 개의 Active Directory 그룹에 속하고 각 그룹에 다른 역할이 할당되면 예기치 않은 결과가 발생할 수 있습니다. 다음 우선 순위에 따라 관리 콘솔 기능이 표시됩니다.
  1. 슈퍼 관리자
  2. 헬프 데스크 관리자
  3. 데모 관리자
  4. 헬프 데스크 읽기 전용 관리자

이 우선 순위의 결과로 사용자의 Active Directory 계정이 Active Directory 그룹 ADGroup1 및 ADGroup2 둘 다에 속해 있으며 ADGroup1에 슈퍼 관리자 역할을 할당하고 ADGroup2에 헬프 데스크 읽기 전용 관리자 역할을 할당하는 경우, 슈퍼 관리자 역할이 우선하기 때문에 다른 역할에 대한 기능의 부분 집합 대신에 슈퍼 관리자 역할에 따라 모든 기능이 관리 콘솔에 표시됩니다.

경고: 슈퍼 관리자 역할이 할당된 Active Directory 그룹이 하나만 있는 경우에는 Active Directory 서버에서 해당 그룹을 제거하지 마십시오. 이렇게 하면 향후 로그인 시 문제가 발생할 수 있습니다.

프로시저

  1. 설정 > 역할 및 권한을 선택합니다.
    [역할 및 권한] 페이지가 표시됩니다.
    다음 표에 나와 있는 네 가지 기본 역할이 있습니다.
    역할 설명
    슈퍼 관리자 Active Directory 도메인의 하나 이상의 그룹 및 필요에 따라 다른 그룹에 할당해야 하는 필수 역할입니다. 이 역할은 관리 콘솔에서 관리 작업을 수행하기 위한 모든 권한을 부여합니다.
    중요:
    • 첫 번째 노드에 Active Directory 도메인을 등록할 때 지정한 도메인 가입 계정이 슈퍼 관리자 역할이 부여된 그룹 중 하나에 있는지 확인합니다. 이미지 및 도메인 가입 작업과 관련된 작업에 전체적으로 성공하려면 해당 도메인 가입 계정에 이 슈퍼 관리자 역할이 부여되어야 합니다.
    • 도메인 바인딩 계정에는 항상 관리 콘솔에서 관리 작업을 수행할 수 있는 모든 사용 권한을 부여하는 수퍼 관리자 역할이 할당됩니다. 수퍼 관리자 권한을 부여하지 않으려는 사용자가 도메인 바인딩 계정에 액세스할 수 없는지 확인해야 합니다.
    헬프 데스크 관리자 하나 이상의 그룹에 선택적으로 할당할 수 있는 역할입니다. 이 역할의 목적은 이 역할을 가진 Active Directory 그룹이 사용자 카드 기능을 사용하여 다음을 수행할 수 있도록 관리 콘솔에 대한 액세스 권한을 제공하는 것입니다.
    • 최종 사용자 세션의 상태를 확인합니다.
    • 세션에 대한 문제 해결 작업을 수행합니다.
    헬프 데스크 읽기 전용 관리자 하나 이상의 그룹에 선택적으로 할당할 수 있는 역할입니다. 이 역할의 목적은 이 역할을 가진 Active Directory 그룹이 사용자 카드 기능을 사용하여 최종 사용자 세션의 상태를 확인할 수 있도록 관리 콘솔에 대한 액세스 권한을 제공하는 것입니다.
    데모 관리자 하나 이상의 그룹에 선택적으로 할당할 수 있는 읽기 전용 역할입니다. 데모 관리자는 콘솔에서 설정을 보고, 옵션을 선택하여 추가 선택 항목을 볼 수는 있지만 선택을 수행해도 구성 설정은 변경되지 않습니다.
  2. [역할] 목록에서 역할을 선택하고 편집을 클릭합니다.
  3. [편집] 대화상자에서 Active Directory 검색 기능을 사용하여 역할에 대한 그룹을 선택하고 저장을 클릭합니다.
    중요: 이러한 역할은 그룹에만 할당할 수 있습니다. 관리 콘솔은 각 역할에 대한 개별 Active Directory 사용자 계정을 선택하는 방법을 제공하지 않습니다.

    이 점은 도메인 가입 계정에 있어서 중요합니다. 초기 노드에 대해 등록한 도메인 가입 계정이 아직 Active Directory 그룹 중 하나에 없는 경우 도메인 가입 계정에 슈퍼 관리자 역할이 할당될 수 있도록 해당 계정에 대한 Active Directory 그룹을 생성합니다. 해당 도메인 가입 계정에 슈퍼 관리자 역할이 부여되어야 합니다.

    참고: 둘 이상의 역할에 동일한 그룹을 추가하지 마십시오. 이렇게 하면 해당 그룹의 사용자가 예상된 모든 기능에 완전히 액세스하지 못합니다.