복구 필요성 완화: 실수로 인한 삭제로부터 개체 보호

Active Directory 복구 시나리오 중 상당수는 관리자의 실수로 인한 중요 개체(특히 조직 단위, OU)의 삭제에서 비롯됩니다. AD는 이러한 실수를 미연에 방지할 수 있는 강력한 보호 기능을 기본적으로 제공합니다. 이 기능을 활용하면 복구 작업을 해야 할 필요성 자체를 크게 줄일 수 있습니다.

'실수로 인한 삭제로부터 개체 보호' 기능이란?

이는 AD 개체에 대한 삭제 작업을 거부하는 보안 설정입니다. 이 옵션이 활성화된 개체는 Domain Admins를 포함한 그 누구도 삭제할 수 없습니다. 개체를 삭제하려면, 권한 있는 관리자가 반드시 이 보호 설정을 먼저 해제해야만 합니다. 이처럼 한 단계의 확인 절차를 더 거치게 함으로써 치명적인 실수를 예방하는 효과가 있습니다.

방법 1: GUI를 이용한 개별 설정

개별 개체에 대해 수동으로 보호 설정을 적용하거나 해제할 때 사용하는 방법입니다.

1. 'Active Directory 사용자 및 컴퓨터' 콘솔을 엽니다.
2. 상단 메뉴에서 [보기] > [고급 기능]을 선택하여 활성화합니다.
3. 보호하려는 OU의 [속성]을 엽니다.
4. [개체(Object)] 탭으로 이동하여 '실수로 인한 삭제로부터 개체 보호(Protect object from accidental deletion)' 확인란을 선택합니다.

• 작동 원리: 이 확인란을 선택하면, 위 이미지의 오른쪽 창처럼 해당 개체의 ACL(액세스 제어 목록)에 '모든 사람(Everyone)'에 대해 '삭제' 및 '하위 트리 삭제'를 '거부(Deny)'하는 권한 항목(ACE)이 추가됩니다. AD 보안 모델에서 '거부' 권한은 다른 모든 '허용' 권한보다 우선하므로, 최상위 관리자라도 삭제가 불가능해지는 것입니다.

방법 2: PowerShell을 이용한 일괄 관리 (두 번째 이미지)

도메인 내의 수많은 OU를 한 번에 확인하고 관리하기 위한 훨씬 효율적인 방법입니다.

• 1. 보호되지 않는 모든 OU 확인하기
  • 도메인 내에 삭제 방지 설정이 누락된 OU가 있는지 감사(Audit)할 때 사용합니다. 아래 명령어를 실행하면 보호 설정이 꺼져 있는($false) OU 목록만 테이블 형태로 표시됩니다.
  PowerShell

   

  Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | ft
  

• 2. 모든 OU에 보호 기능 일괄 활성화하기
  • 도메인 내의 모든 OU에 대해 한 번에 삭제 방지 기능을 활성화합니다. 아래 명령어를 실행하면, 모든 OU를 찾아 ProtectedFromAccidentalDeletion 속성을 true로 설정합니다.
  PowerShell

   

  Get-ADOrganizationalUnit -Filter * | Set-ADObject -ProtectedFromAccidentalDeletion $true
  

결론적으로, 새로운 OU를 생성할 때 기본적으로 활성화되는 이 보호 기능을 해제하지 않고 유지하며, PowerShell을 이용해 주기적으로 보호되지 않는 OU가 있는지 점검하고 일괄 적용하는 것은 AD를 안정적으로 관리하는 매우 중요한 기본 수칙입니다. 이는 복잡한 복구 절차를 피하는 가장 간단하고 효과적인 방법입니다.