AD 그룹 내 하위 그룹 깔끔하게 확인하는 법! (PowerShell & RSAT 활용 꿀팁)

AD 그룹 내 하위 그룹 깔끔하게 확인하는 법! (PowerShell & RSAT 활용 꿀팁)

📌 안녕하세요, IT 관리자나 IT 관련 업무를 하시는 분들이라면 Active Directory(AD) 그룹 관리가 익숙하실 텐데요. 특정 AD 그룹 안에 어떤 '사용자'들이 있는지 확인하는 건 쉬워도, 그 안에 또 어떤 '하위 그룹'들이 중첩되어 있는지 깔끔하게 확인하기는 생각보다 까다로울 때가 많죠?

특히 도메인에 소속된 개인 PC에서 확인하려고 할 때, 일반적인 명령어로는 잘 안 되는 경우가 있는데요! 오늘은 제가 직접 겪고 해결한, AD 서버의 하위 그룹을 PowerShell로 정확하게 확인하는 방법을 공유해드릴게요! (feat. RSAT 도구의 중요성!)

---

1. ❌ 흔히 겪는 문제점들 (왜 잘 안 될까?)

처음에 저도 DOS 명령어나 간단한 PowerShell 명령어로 시도해봤지만 잘 안되더라고요.

dsquery group -name "그룹이름" | dsget group -members

: 이 명령어가 생각보다 잘 안 먹히거나 복잡하게 나올 때가 많았어요.

net group "그룹이름" /domain

: 이 명령어는 그룹 내 '사용자' 목록은 잘 보여주지만, 중첩된 '하위 그룹' 자체는 보여주지 않아요! 그래서 "어? 그룹은 없는데?" 하고 착각할 수 있답니다.

Get-ADGroupMember

: 분명 이 명령어가 강력하다고 들었는데, 막상 PowerShell에서 입력하면 "

'Get-ADGroupMember' 용어가 cmdlet, 함수, 스크립트 파일 또는 실행할 수 있는 프로그램 이름으로 인식되지 않습니다."

라는 오류가 뜰 때가 있어요.
왜 그럴까요?

---

2. 🔑 문제 해결의 핵심: RSAT (원격 서버 관리 도구) 설치하기!

위의 Get-ADGroupMember 명령어를 내 PC에서 사용하려면, 단순히 PowerShell을 실행하는 것만으로는 부족해요. 바로 Active Directory 모듈이 내 PC에 설치되어 있어야 하는데, 이 모듈은 **RSAT (Remote Server Administration Tools)**의 일부거든요!

[Windows 10/11 사용자용 RSAT 설치 방법]

1.  시작 메뉴 클릭 후 '설정' (톱니바퀴 아이콘)으로 이동합니다.
2.  '앱' 메뉴를 선택합니다.
3.  좌측 메뉴에서 **'선택적 기능'**을 클릭합니다.
4.  '기능 추가' 버튼을 클릭합니다.
5.  기능 목록이 뜨면 스크롤을 내려서 **'RSAT: Active Directory Domain Services 및 LDS 도구'**를 찾아 체크하고 설치합니다.
    -   주의! 비슷한 이름으로 'Active Directory 인증서 서비스 도구'가 있는데, 이건 아니에요! 꼭 'Domain Services 및 LDS 도구'를 선택해야 해요!
    -   (설치 완료까지 시간이 좀 걸릴 수 있습니다.)

---

3. ✅ PowerShell로 하위 그룹 깔끔하게 확인하기!

RSAT 설치가 완료되었다면, 이제 PowerShell을 실행할 준비가 됐어요.

1.  PowerShell을 '관리자 권한'으로 실행합니다.
    -   시작 메뉴에서 'PowerShell' 검색 -> 마우스 우클릭 -> '관리자 권한으로 실행' 선택

2.  먼저, Active Directory 모듈을 불러와야 해요. (이 과정에서 '모듈을 로드하지 못했습니다' 오류가 뜬다면, 오타를 확인하거나 RSAT 설치가 제대로 안 되었을 가능성이 높습니다!)

Import-Module ActiveDirectory

3.  이제 드디어! 특정 그룹 내에 포함된 하위 그룹만 골라낼 수 있는 명령어를 사용해볼까요?

Get-ADGroupMember -Identity "확인하고 싶은 그룹이름" | Where-Object {$_.objectClass -eq "group"}

"확인하고 싶은 그룹이름"
: 여기에 AD 서버의 그룹 이름을 정확하게 입력해주세요. 그룹 이름에 띄어쓰기나 특수문자가 있다면 **반드시 쌍따옴표("")**로 묶어줘야 합니다! (ex: "Sales Group", "IT_Developers")

Where-Object {$_.objectClass -eq "group"}
: 이 부분이 바로 핵심! 그룹 멤버 중에서 '객체 클래스'가 "그룹(group)"인 것들만 필터링해서 보여달라는 의미예요. 그래서 사용자 계정은 제외되고 하위 그룹들만 깔끔하게 보인답니다!

4.  팁: 해당 그룹 내 모든 사용자(하위 그룹 안에 있는 사용자까지 포함)를 보고 싶다면?

Get-ADGroupMember -Identity "확인하고 싶은 그룹이름" -Recursive

-Recursive
옵션을 추가하면 중첩된 하위 그룹 안의 멤버들까지 전부 끌어와서 보여준답니다! 필요에 따라 활용해보세요!

---

**🚨 중요! 보안 관련 주의사항 🚨**

이 포스팅에서 다루는 내용은 Active Directory 정보를 조회하는 데 사용되지만, AD는 조직의 핵심 보안 인프라 중 하나입니다. 다음 사항들을 꼭 염두에 두세요:

-   권한 확인: AD 관련 정보를 조회하려면 해당 도메인에 대한 적절한 조회 권한이 있어야 합니다. 권한이 부족하면 명령어가 작동하지 않거나 제한적인 정보만 표시될 수 있습니다.
-   보안 정책 준수: 각 조직의 IT 보안 정책에 따라 AD 정보 접근 및 사용에 제한이 있을 수 있습니다. 무단으로 정보를 조회하거나 변경하는 행위는 지양하고, 필요한 경우 사전에 IT 부서나 관리자의 승인을 받으시기 바랍니다.
-   민감 정보 처리: AD에서 조회되는 정보(사용자 이름, 그룹 구성 등)는 민감한 내부 정보일 수 있습니다. 조회한 정보를 외부에 유출하거나 오용하지 않도록 각별히 주의해야 합니다.

---

5. 🚀 마무리하며

어떠셨나요? 저도 이 과정에서 시행착오를 많이 겪었는데, 이렇게 해결하고 나니 속이 다 시원하더라고요! IT 환경은 계속 변하고, 그에 맞춰 관리 도구들도 발전하니 꾸준히 배우고 적용하는 게 중요한 것 같아요.

이 포스팅이 Active Directory 그룹 관리로 고민하는 다른 분들께도 작게나마 도움이 되었으면 좋겠습니다! 다음에는 또 다른 꿀팁으로 찾아올게요! 😊