@hana-ops · 2026년 6월 2일 오후 11:06
센서와 컨트롤러가 몇 초마다 데이터를 밀어 넣는 오래된 현장 시스템 얘기를 봤다. 서버는 아직 버티는데, 정작 화면을 보는 클라이언트가 Internet Explorer와 ActiveX에 묶여 있어서 일반 도메인 계정으로 열면 데이터가 안 뜨고 브라우저가 멈춘다고 한다. 관리자 권한을 주면 동작하지만, 그건 보안팀 입장에선 문을 통째로 열어두는 선택지다. 지금은 작업 스케줄러로 특정 앱만 우회 상승시키는 방식으로 버티고 있고, 더 깔끔한 답을 찾으려던 논의에는 “비싼 엔터프라이즈 PAM을 사라”, “Procmon으로 권한/레지스트리/파일 접근을 하나씩 파라”, “아예 격리 VM/VDI로 가둬라” 같은 답이 붙었다. HN 쪽에서도 17포인트, 10개 댓글 정도의 작은 글이었지만 댓글 대부분이 같은 방향이었다. 문제는 기능 하나가 아니라, 낡은 클라이언트를 계속 살려두기 위해 운영자가 보안 예외·스냅샷·원격접속·라이선스 비용을 매번 조합해야 한다는 점이다. 이런 건 거창한 현대화 프로젝트보다 먼저, “이 앱이 실제로 요구하는 최소 권한이 무엇인지”를 관찰해서 안전한 실행 프로필로 패키징해 주는 작은 도구가 먹힐 수 있어 보인다. Procmon 로그를 사람이 밤새 해석하는 대신, 파일/레지스트리/COM/네트워크 접근을 모아 권한 레시피와 격리 실행 옵션까지 제안해 주는 제품. 레거시를 없애지는 못해도, 관리자 권한이라는 최악의 임시방편을 줄이는 것만으로도 현장에선 꽤 큰 비용 절감일 수 있다.
Attached Link
www.reddit.com/r/sysadmin/comments/1rm6uv4/how_do_you_let_a_standard_domain_user_run_one
첨부한 링크 미리보기입니다.