<Note> “대화형으로 로그온 할 수 없습니다.”

<그림13-90. 로그온 에러 메시지 1>

 

처음 Active Directory를 셋업한 후 테스트를 하다 보면 만나게 되는 황당한 메시지이다. 기껏 Active Directory를 셋업하고 Active Directory 관리도구를 이용하여 사용자 계정을 추가했는데 로그온이 안 된다. 이런~ 계정을 잘못 만들었나? 패스워드가 틀렸나?? 다시 관리자로 들어가서 사용자 암호를 바꾸고, 다른 사용자도 만들어 보고 고민을 해 봐도 역시 답이 나오지 않는다.

 

메시지를 읽어보니 ‘사용자는 대화형으로 로그온’할 수 없단다? 왜? 로컬정책이라는 녀석이 허용을 안 해준단다. 와~ 로컬정책이 뭐길래 로그온을 안 시켜줘?? 기분 나쁘다. 내가 셋업한 시스템인데 내가 만든 계정을 로그온을 안 시켜주다니... 아무튼 메시지를 잘 읽어보니 적어도 사용자 계정이 틀렸거나 패스워드가 틀린 것은 아닌 듯 하다.

 

패스워드가 틀렸을 때는 어떤 메시지가 뜨는지 비교해 보자.

<그림13-91. 로그온 에러 메시지 2>

 

언뜻 봐도 많이 다르다. 하지만 너무도 친절한 메시지이다. 처음 시작할 때는 사실 메시지를 보고 원인을 찾는 것은 너무나 힘들다. 다만 조금씩 관심을 가지는 연습을 하자. 무작정 이것저것 눌러보는 수고를 조금이라도 덜 수 있는 방법이 될 것이다.

 

에러 메시지를 토대로 차근 차근 접근해 보자. 먼저 '대화형 로그온'이라는 것이 무엇일까? 시스템을 켜게 되면 우리는 로그온 하기 위해서는 [Ctrl+Alt+Delete]를 입력할 것을 요구받는다. 시키는 대로 키조합을 입력하면 아래와 같은 화면이 제공된다.

<그림13-92. 로그온 대화 상자>

 

이 화면을 가리켜서 ‘로그온 대화 상자 (Logon Dialog Box)’ 라고 부른다. 그리고 이렇게 로그온 하는 방법을 가리켜서 에러 메시지에서는 '대화형 로그온'이라고 표현하였다. 결국 이러한 형태의 로그온을 하지 못하도록 시스템의 로컬정책에서 설정이 되어 있다는 얘기다. 그럼 이렇게 로그온 하는 것이 아닌 다른 방법도 있나? 네트워크 로그온을 예를 들 수 있다. 대화 상자를 통해서 접근하는 것이 아니라 네트워크에 파일서버에 연결한다거나, 익스체인지 서버에 메일확인을 위해서 연결을 하는 등의 과정에서 네트워크 로그온이 이루어진다.

 

네트워크로 로그온을 했을 때 사용자는 네트워크상의 서버에 접근하는 방법은 서버에서 공유되어 있는 자원에 접근을 하게 된다. 접근할 때는 "공유자원"에 부여되어 있는 접근권한의 영향을 받게 되고, 할 수 있는 일이 상당히 제한적이다. 하지만, 해당 시스템에서 직접 로컬로 로그온을 했을 때는 그러한 권한 설정은 무시되고 심지어는 공유되어 있지 않은 리소스까지도 직접 액세스가 가능하기 때문에 보안에 치명적인 문제가 발생 할 수 있다. 도메인 컨트롤러의 경우에는 더 심각하다. 도메인 환경의 전체 자원에 대한 정보가 Active Directory에 담겨있기 때문에 누군가 로컬로 도메인 컨트롤러에 접근한다면 회사의 중요한 정보를 누출시킬 위험에 노출되기 마련인 것이다.

 

이러한 이유로 상대적으로 더 중요한 역할을 담당하는 도메인 컨트롤러에서는 로컬로 로그온 할 수 있는 권한에서 일반사용자들을 제거하고, 관리자 그룹에 속한 사용자들만 로그온 할 수 있도록 기본 로컬정책을 가지고 있다.

 

에러메시지는 그러한 상황을 보여주고 있는 것이다.

 

그렇다면 기본설정을 그대로 두는 것이 좋겠다. 하지만, 테스트 환경이라면 로컬정책을 바꿔서 접근할 수 있게 할 수 있다. 또, 도메인 컨트롤러에서 FTP서비스를 구현했을 때, 익명사용자의 연결을 허용하지 않고 계정이 있는 사용자만 접근하도록 권한 설정을 하고 싶다면 로컬정책을 수정해 주어야 한다. 권장되지는 않는 방법이다. 실제 회사 환경에서 이러한 작업을 해서는 안 될 일이다. 또, FTP서비스는 기본적으로 계정 로그인시 암호화 인증 방법을 사용하지 않기 때문에 누군가 사용자 로그인 트래픽을 캡춰해서 분석한다면 사용자의 계정과 암호는 암호화되지 않은 평문으로 전송되기 때문에 더더욱 위험하다.

<그림13-93. FTP 사이트 등록정보 >

 

시스템의 정책을 수정하여 "대화형 로그온"이 가능하도록 설정을 해 보자. 먼저 시스템의 관리자로 로그온을 한 다음, 관리도구à도메인 컨트롤러 보안정책을 클릭하여 '보안설정à로컬정책à사용자권한 할당'을 찾아가면 관리콘솔의 오른쪽 패널에서 "로컬 로그온 허용"을 찾을 수 있다. 마우스 오른쪽을 눌러 '속성'을 클릭한다.

<그림13-94. 도메인 컨트롤러 보안 정책 관리콘솔>

 

'로컬로그온 허용 등록정보'창에서 로컬로 로그온(대화형 로그온)을 허용할 사용자 또는 그룹을 추가하고 [확인]을 누른다. Active Directory에 계정이 있는 모든 사용자들에게 '로컬 로그온'을 허용하려면 'Users"그룹을 추가하면 된다.

<그림13-95. 로컬 로그온 권한 설정>

 

관리콘솔을 닫는다. 이러한 시스템 정책이 즉시 반영되지는 않는다. 시스템을 재시작하거나 5분 정도의 시간을 기다리면 된다. 명령프롬프트에서 "gpupdate" 유틸리티[1]를 이용하여 바뀐 보안정책을 즉시 반영시킬 수도 있다. 다음과 같이 입력한다.

 

Gpupdate /force

 

화면과 같은 메시지가 나온다면 반영된 것이다. 확인을 하고 싶다면 관리도구-로컬 보안 정책을 확인해 보라.

<그림13-96. gpupdate를 이용한 그룹정책 수동으로 갱신하기>

 

이제 다시 로그온을 해 보면 에러메시지 없이 로그온을 할 수 있을 것이다.

---

[1] Windows 2000 Server라면 gpupdate 유틸리티 대신에 secedit을 사용해야 한다. 다음과 같이 입력하면 컴퓨터 정책이 업데이트 된다.  “Secedit /refreshpolicy machine_policy /enforce”