사용 권한 분할 이해
적용 대상: Exchange Server 2010
마지막으로 수정된 항목: 2009-12-06
Microsoft Exchange Server 2010 개체와 Active Directory 개체의 관리를 구분하는 조직은 분할 권한 모델을 사용합니다. 분할 권한을 사용하면 조직에서 특정 사용 권한 및 관련 작업을 조직에 있는 특정 그룹에 할당할 수 있습니다. 이 방식으로 작업을 구분하면 표준 및 워크플로를 유지 관리하고 조직 내의 변경을 제어하는 데 도움이 됩니다.
가장 높은 수준의 분할 권한은 Exchange 관리와 Active Directory 관리의 구분입니다. 많은 조직에서 그룹을 조직의 Exchange 인프라를 관리하는 관리자(서버 및 받는 사람 포함)와 Active Directory 인프라를 관리하는 관리자의 두 개로 나누어 관리합니다. Active Directory 인프라는 여러 위치, 도메인, 서비스, 응용 프로그램, 그리고 심지어는 Active Directory 포리스트에까지 퍼지는 경우가 많기 때문에 대다수 조직에서 이러한 구분이 중요합니다. Active Directory 관리자는 Active Directory의 변경으로 인해 다른 서비스에 부정적인 영향이 가지 않도록 주의해야 합니다. 따라서 이 인프라에 대한 관리는 보통 작은 그룹의 관리자에게만 허용됩니다.
또한 서버 및 받는 사람을 포함한 Exchange의 인프라도 복잡하게 구성되어 특화된 지식이 필요할 수 있습니다. 게다가 Exchange는 조직의 비즈니스에 대한 극비 정보를 저장합니다. Exchange 관리자는 이러한 정보에 액세스할 수 있습니다. Exchange 관리자의 수를 제한하면 조직에서 Exchange 구성을 변경할 수 있는 사람과 중요한 정보에 액세스할 수 있는 사람이 제한됩니다.
분할 권한에서는 일반적으로 사용자 및 보안 그룹과 같은 Active Directory의 보안 주체를 구분하여 만듭니다. 이 방법을 사용하면 액세스 권한을 부여하는 개체를 만들 수 있는 사람을 제어하여 네트워크에 대한 무단 액세스를 줄일 수 있습니다. 대개의 경우 Active Directory 관리자만 보안 주체를 만들 수 있고 Exchange 관리자 등의 다른 관리자는 기존 Active Directory 개체의 특정 특성을 관리할 수 있습니다.
Exchange 2010에서는 공유 권한 모델과 분할 권한 모델을 적절하게 선택할 수 있으므로 Exchange와 Active Directory의 관리를 구분해야 하는 다양한 상황이 지원됩니다. Exchange 2010은 기본적으로 공유 권한 모델을 사용합니다.
목차
- 역할 기반 액세스 제어 및 Active Directory 설명
- 공유 권한
- 분할 권한
역할 기반 액세스 제어 및 Active Directory 설명
분할 권한을 이해하려면 Exchange 2010의 RBAC(역할 기반 액세스 제어) 권한 모델이 Active Directory에서 작동하는 방식을 이해해야 합니다. RBAC 모델은 사람별로 수행할 수 있는 동작과 그러한 동작을 수행할 수 있는 개체를 제어합니다. 이 항목에서 논의된 다양한 RBAC 구성 요소에 대한 자세한 내용은 역할 기반 액세스 제어 이해를 참조하십시오.
Exchange 2010에서 Exchange 개체에 수행하는 모든 작업은 Exchange 관리 콘솔, Exchange 관리 셸 또는 Exchange 웹 관리 인터페이스를 통해 수행해야 합니다. 이러한 각 관리 도구는 RBAC를 사용하여 수행되는 모든 작업에 권한을 부여합니다.
RBAC는 Exchange 2010을 실행하는 모든 서버에 있는 구성 요소입니다. RBAC는 동작을 수행하는 사용자에게 필요한 권한이 있는지 확인합니다.
- 사용자에게 동작을 수행할 권한이 없는 경우 RBAC는 동작의 진행을 허용하지 않습니다.
- 사용자에게 동작을 수행할 권한이 있는 경우 RBAC는 사용자가 요청한 특정 개체에 대해 동작을 수행할 권한이 있는지 확인합니다.
- 사용자에게 권한이 있으면 RBAC는 동작의 진행을 허용합니다.
- 사용자에게 권한이 없으면 RBAC는 동작의 진행을 허용하지 않습니다.
RBAC에서 작업의 지행을 허용하면 사용자의 컨텍스트가 아닌 Exchange Trusted Subsystem의 컨텍스트에서 동작이 수행됩니다. Exchange Trusted Subsystem은 권한 수준이 높은 USG(유니버설 보안 그룹)로, Exchange 조직의 모든 Exchange 관련 개체에 대한 읽기 및 쓰기 권한이 있습니다. 또한 Administrators 로컬 보안 그룹 및 Exchange Windows Permissions USG에도 구성원으로 속해 있어 Exchange에서 Active Directory 개체를 만들고 관리할 수 있습니다.
경고
Exchange Trusted Subsystem USG는 보안 그룹에서 결코 제거해서는 안 되며 개체의 ACL(액세스 제어 목록)에서도 제거하지 않아야 합니다. Exchange가 작동하려면 Exchange Trusted Subsystem USG 기능이 필요합니다. 한 그룹 또는 개체 ACL에서만 Exchange Trusted Subsystem USG를 제거해도 Exchange 조직에 복구 불가능한 손상이 생길 수 있습니다.
사용자가 Exchange 관리 도구를 사용하는 동안 Active Directory 사용 권한은 의미가 없습니다. RBAC를 통해 사용자에게 Exchange 관리 도구의 동작을 수행할 권한이 부여된 경우 그 사용자는 Active Directory 권한에 관계 없이 동작을 수행할 수 있습니다. 한편 Active Directory에서 엔터프라이즈 관리자라고 해도 Exchange 관리 도구에서 사서함 만들기 등의 동작을 수행할 권한이 부여되지 않았다면 RBAC에 따라 필요한 권한이 없으므로 동작에 성공할 수 없습니다.
중요
RBAC 권한 모델이 Active Directory 사용자 및 컴퓨터 관리 도구에 적용되지 않지만 Active Directory 사용자 및 컴퓨터는 Exchange 구성을 관리할 수 없습니다. 따라서 사용자가 Active Directory 개체에서 사용자의 표시 이름과 같은 일부 특성을 수정할 액세스 권한이 있다고 해도 그 사용자가 Exchange 특성을 관리하려면 RBAC 권한 부여를 받아 Exchange 관리 도구를 사용해야 합니다.
맨 위로 이동
공유 권한
공유 권한 모델은 Exchange 2010의 기본 모델입니다. 이 권한 모델을 사용하려는 경우에는 아무 것도 변경할 필요가 없습니다. 이 모델은 Exchange 관리 도구에서 Exchange와 Active Directory 개체의 관리를 구분하지 않습니다. 여기서는 Exchange 관리 도구를 사용하는 관리자가 Active Directory에 보안 주체를 만들 수 있습니다.
다음 표에는 기본적으로 할당되는 Exchange 및 관리 역할 그룹에서 보안 주체를 만들 수 있는 역할을 보여줍니다.
보안 주체 관리 역할
| 관리 역할 | 역할 그룹 |
|---|---|
Mail Recipient Creation 역할이 할당된 역할 그룹, 사용자 또는 USG만 Active Directory 사용자 등의 보안 주체를 만들 수 있습니다. 기본적으로 Organization Management 및 Recipient Management 역할 그룹에는 이 역할이 할당됩니다. 따라서 이 역할 그룹의 구성원은 보안 주체를 만들 수 있습니다.
Security Group Creation and Membership 역할이 할당된 역할 그룹, 사용자 또는 USG만 보안 그룹을 만들거나 구성원을 관리할 수 있습니다. 기본적으로 이 역할은 Organization Management 역할 그룹에만 할당됩니다. 따라서 Organization Management 역할 그룹의 구성원만 보안 그룹의 구성원을 만들거나 관리할 수 있습니다.
다른 사용자가 보안 주체를 만들 수 있게 하려면 다른 역할 그룹, 사용자 또는 USG에 Mail Recipient Creation 역할과 Security Group Creation and Membership 역할을 할당합니다.
Exchange 2010에서 기존 보안 주체를 관리할 수 있도록 기본적으로 Organization Management 및 Recipient Management 역할 그룹에 Mail Recipients 역할이 할당됩니다. Mail Recipients 역할이 할당된 역할 그룹, 사용자 또는 USG만 기본 보안 주체를 관리할 수 있습니다. 다른 역할 그룹, 사용자 또는 USG가 기존 보안 주체를 관리할 수 있게 하려면 Mail Recipients 역할을 할당해야 합니다.
역할 그룹, 사용자 또는 USG에 역할을 추가하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.
분할 권한 모델로 전환했다가 공유 권한 모델로 다시 변경하려는 경우에는 공유 사용 권한에 대해 Exchange 2010 구성을 참조하십시오.
맨 위로 이동
분할 권한
조직에서 Exchange 관리와 Active Directory 관리를 구분하는 경우에는 Exchange에서 분할 권한 모델을 지원하도록 구성해야 합니다. 분할 권한을 올바르게 구성하면 보안 주체 만들기를 허용하고 싶은 Active Directory 관리자 등의 관리자에게만 만들기를 허용하고 Exchange 관리자만 기본 보안 주체의 Exchange 특성을 수정할 수 있게 만드는 것도 가능합니다.
다음 표에는 기본적으로 할당되는 Exchange 및 관리 역할 그룹에서 보안 주체를 만들 수 있는 역할을 보여줍니다.
보안 주체 관리 역할
| 관리 역할 | 역할 그룹 |
|---|---|
기본적으로 Organization Management 및 Recipient Management 역할 그룹의 구성원만 보안 주체를 만들 수 있습니다. 보안 주체를 만드는 기능을 기본 제공 역할 그룹에서 새로 만든 역할 그룹으로 옮겨야 합니다.
분할 권한 모델을 구성하려면 다음을 수행해야 합니다.
- 보안 주체를 만들 수 있는 Active Directory 관리자를 포함할 역할 그룹을 만듭니다.
- Mail Recipient Creation 역할과 새 역할 그룹 사이에 일반 및 위임 역할 할당을 설정합니다.
- Security Group Creation and Membership 역할과 새 역할 그룹 사이에 일반 및 위임 역할 할당을 설정합니다.
- Mail Recipient Creation 역할과 Organization Management 및 Recipient Management 역할 그룹 사이의 일반 및 위임 관리 역할 할당을 제거합니다.
- Security Group Creation and Membership 역할과 Organization Management 역할 그룹 사이의 일반 및 위임 역할 할당을 제거합니다.
그러고 나면 새로 만든 역할 그룹의 구성원만 사서함 등의 보안 주체를 만들 수 있습니다. 새 그룹은 개체를 만들 수만 있습니다. 새 개체의 Exchange 특성을 구성할 수는 없습니다. Active Directory 관리자가 개체를 만들면 Exchange 관리자가 개체에서 Exchange 특성을 구성해야 합니다. Exchange 관리자는 다음 cmdlet을 사용할 수 없습니다.
- New-Mailbox
- New-MailUser
- New-MailContact
- New-LinkedUser
- Remove-Mailbox
- Remove-MailUser
- Remove-MailContact
- Remove-LinkedUser
- Add-MailboxPermission
- Add-MailboxFolderPermission
하지만 Exchange 관리자가 전송 규칙, 메일 그룹 등의 Exchange 관련 개체는 만들고 관리할 수는 있습니다.
새 역할 그룹에서 새 개체의 Exchange 특성도 관리할 수 있게 하려면 새 역할 그룹에 Mail Recipients 역할도 할당해야 합니다.
분할 권한 모델 구성에 대한 자세한 내용은 사용 권한 분할에 대해 Exchange 2010 구성을 참조하십시오.
맨 위로 이동