도움 데스크 관리자입니다!
아직 시스템 관리자는 아니지만, 배우고 테스트할 수 있는 환경이 있어서 축복받았다고 생각합니다.
그런데, 처음으로 노트북에 로그인하는 원격 사용자를 어떻게 처리하시나요?
아래 두 가지 시나리오가 제시되었습니다:
조직의 새 직원이 완전히 원격 근무하며 회사에서 발급한 노트북이 필요합니다. 그러나 노트북을 배송하면 사용자가 로그인할 수 없습니다. 이유는 사용자 프로필이 디바이스에 존재하지 않기 때문입니다.
(제가 취한 해결책은 부끄러워서 공개하지 않겠습니다)
기존 사용자가 노트북을 갖고 있는데 고장났습니다. 새 노트북이 필요합니다. 사용자는 새 노트북에 로그인할 수 없는데, 네트워크에 연결되어 있지 않기 때문입니다.
(이 해결책도 공개하지 않겠습니다)
이 시나리오들에 대해 여러분은 어떻게 하시겠습니까?
두 가지 옵션이 있습니다:
우리는 항상 켜져 있는 VPN을 사용합니다. 사용자는 로그인 화면에서 집 Wi-Fi에 연결할 수 있고, 노트북이 인터넷 접속이 가능하면 기계 자격 증명을 통해 VPN에 연결되어 도메인 컨트롤러에 접근할 수 있습니다.
만약 사무실에서 노트북을 설정하고 사용자에게 배송하는 경우, 기술자는 먼저 해당 사용자의 계정으로 로그인해서 모든 GPO가 적용되는지 확인하고, 만족하면 종료 후 우편으로 발송합니다. 그리고 AD 객체에 비밀번호 변경을 체크합니다.
사용자가 노트북을 받고 로그인하면 항상 켜져 있는 VPN이 네트워크에 연결되어 있으며, 지침을 따르면(지침을 따르지 않으면) 비밀번호 변경을 요청받게 됩니다.
우리는 먼저 기본 비밀번호로 노트북에 로그인하고 모든 것이 정상인지 확인한 후 배송하며, 비밀번호를 변경합니다.
이 두 가지 옵션이 있습니다: 배송 전에 노트북에서 해당 사용자로 사전 로그인하거나, LAPS를 구현하거나, 로컬 관리자 비밀번호를 설정하고 그 사용자가 로컬 관리자 계정으로 로그인한 뒤 VPN에 연결하여 VPN에 접속한 상태에서 사용자 전환을 하는 방법입니다.
(이 방법 대신 비관리자 로컬 사용자 계정을 만들어서 사용하는 것도 가능합니다)
아이고, 정말 충격적이네요!
그다지 좋지는 않지만, 우리의 VPN 솔루션은 Windows 로그인 화면에서도 SSO 형태로 나타납니다. 그냥 그 방식으로 로그인하게 하고 프로필을 VPN으로 끌어올 수 있습니다. 시간이 좀 걸리긴 하지만 확실히 됩니다.
이 사용자들이 로그인하지 못하는 이유는, 조직이 온-프레미스 Active Directory를 사용하고 있고, 컴퓨터가 회사 네트워크에 연결되지 않으면 접근할 수 없기 때문일 것으로 추정됩니다.
한 가지 방법은 노트북을 VPN에 연결하도록 구성하는 것인데, 이는 장치 인증서를 사용하여 로그인 화면에서 바로 회사 네트워크에 접속할 수 있게 하는 방법입니다.
더 나은 방법은 온-프레미스 AD를 Entra와 동기화하고(이미 그렇지 않다면), 사용자에게 아직 초기 설정 마법사를 거치지 않은(즉, OOBE 이전의) 디바이스를 배송하는 것입니다. 사용자는 인터넷에 연결한 후, 업무 또는 학교용으로 디바이스를 설정하는 옵션을 선택하고, 업무 자격 증명으로 로그인하면 됩니다.
신규 Windows 11 디바이스를 Microsoft Entra ID에 조인하는 방법 - Microsoft Entra ID | Microsoft Learn
물론 더 많은 상세 내용이 필요하며, 현재 그룹 정책으로 컴퓨터를 관리하는 경우, 이 설정들을 Intune 또는 다른 MDM 솔루션으로 이전해야 합니다. 온-프레미스 자원에 접근해야 하는 경우, Entra 가입 디바이스용 SSO 설정 기사를 검토하는 것이 좋습니다.
어떤 VPN을 사용하시나요? Cisco AnyConnect 같은 일부는 로그인 전에 연결하는 모듈이 있어서, 그걸 설치하면 로그인 화면에서도 VPN에 연결할 수 있습니다.
우리는 노트북에 VPN 클라이언트와 RMM 도구를 미리 설치합니다. 사용자에게 전달받으면 Wi-Fi에 연결하고 RMM 도구를 통해 원격으로 접속하여 관리자 계정으로 로그인합니다.
그 다음 VPN에 연결하고 "사용자 전환"을 하여 사용자가 로그인하게 합니다.
현대적인 방법은 Entra ID에 가입된 디바이스를 사용하는 것이지만, 아직 이는 구현하지 않았습니다.
두 가지 방법입니다: 먼저 노트북에 로그인하거나, 네트워크 연결이 있는 물리적 사무실로 가는 것입니다.
그냥 로컬 계정을 만들어 로그인하게 하고, 그런 다음 원격으로 접속하여 VPN 연결을 도와주고, 도메인 계정으로 로그인하게 해서 정리하는 방법입니다.
하지만 더 우아한 방법들이 여기에 있습니다.
Entra 가입 노트북으로 전환하거나, AO-VPN을 배포하세요.
간단합니다. 원격으로 로컬 관리자 계정에 접속하고, VPN에 연결시킨 후, 사용자 계정으로 로그인하게 하는 것입니다.
저는 비슷한 상황에서 해결책을 찾았고, 지금 사용하는 방법이 최선은 아니지만 확실히 효과가 있었습니다. 사용자 프로필을 먼저 설정하려면, 사용자인 척 로그인해서 모든 것을 정상적으로 작동하게 만든 후, 비밀번호를 재설정하고(첫 로그인 시 변경 강제하지 않기), 첫날 사용자에게 전화해서 비밀번호를 알려주고, VPN에 연결하여 변경을 안내하는 방식입니다.
이제는 이전 방식에서 벗어나, Entra/Intune을 이용한 Autopilot으로 노트북을 자동으로 설정하는 것이 좋습니다. 더 이상 골드 이미지를 만들고 도메인 프로필 걱정할 필요가 없습니다.
시스템 관리자로서, 도움 데스크가 훨씬 더 수월해집니다. 필요한 앱을 포함하는 등록 프로필을 만들고, 새 노트북에 로그인하는 즉시 모든 것이 준비됩니다.
예전에는 도움 데스크가 원격 소프트웨어를 미리 설치하고, 로컬 계정으로 VPN 클라이언트를 실행한 후, 사용자에게 빠른 전환을 통해 로그인하게 하는 방식이었습니다. 그 과정은 약 5분 정도 걸렸고, 10년 전에 가능했습니다.
AD 비밀번호를 변경하고, 배송 전에 노트북에 로그인하여 사용자 프로필을 만들어 놓습니다. 그런 다음, 비밀번호 변경 방법 안내와 함께 새 비밀번호를 보냅니다.
저는 새 직원의 노트북에서 작업하는 것을 선호하는데, 여러 이유가 있지만 가장 큰 이유는, 일반 비밀번호로 로그인해서 사용자에게 방해받지 않고 계정을 미리 만들 수 있기 때문입니다. 기존 직원인 경우, 그들이 비밀번호를 공유하거나, 비밀번호를 재설정해야 하는데, 둘 다 번거로울 수 있습니다. 그래서 사용자 프로필을 먼저 로그인해서 최소한 시스템에 인식시키는 방식입니다. 이후 배송하면, 사용자가 일정 예약 후, 일반 비밀번호로 로그인하고 비밀번호 재설정을 안내받게 하는 것입니다. VPN이 있다면, VPN에 연결해서 새 비밀번호를 인식하게 할 수 있습니다.
이 행에서 운이 좋군요. SBL은 우리에게는 큰 문제를 해결할 수 있지만, '취약성’이기도 합니다.
우리 환경에서는 이 문제를 해결했습니다. 사전에 인증 상태를 설정하여 컴퓨터가 제한된 서비스에 접근할 수 있도록 하였고, 이를 통해 Windows가 사용자 프로필을 가져오고, 프로필을 가져오는 동안 사전 인증 연결을 종료하여 사용자가 VPN에 연결할 수 있게 했습니다.