내보내기(0) 인쇄
모두 확장

필요한 사용 권한

업데이트 날짜: 2008년 5월

적용 대상: Windows Server 2008, Windows Server 2008 R2

이 장에서는 다음과 같은 사용 권한과 이러한 권한을 부여하는 방법(해당하는 경우)에 대해 간략하게 설명합니다.

Windows 배포 서비스 서버를 완전하게 관리하려면 다음 사용 권한이 필요합니다.

  • Windows 배포 서비스 서버의 로컬 관리자. 이 계정은 다음과 같은 권한을 제공합니다.

    • 파일 권한 및 RemoteInstall 폴더 사용 권한. 관리 도구는 UNC 경로를 사용하여 이미지 저장소와 상호 작용합니다.

    • 레지스트리 하이브 사용 권한. Windows 배포 서비스 서버에 대한 많은 설정은 HKEY_LOCAL_MACHINE\System에 저장됩니다. 해당 설정을 변경하려면 이러한 위치에 대한 적절한 사용 권한이 필요합니다.

  • Windows 배포 서비스 서버가 포함된 도메인의 도메인 관리자. 이 계정은 AD DS(Active Directory 도메인 서비스)의 SCP(서비스 제어 지점)에서 Windows 배포 서비스 서버에 대한 사용 권한을 제공합니다. 서버에 대한 일부 구성 설정이 이 계정에 저장됩니다.

  • 엔터프라이즈 관리자(옵션). 이 계정은 DHCP(Dynamic Host Configuration Protocol) 권한 부여 권한을 제공합니다. DHCP 권한 부여를 사용하도록 설정한 경우, Windows 배포 서비스 서버는 AD DS에서 권한이 부여된 후 들어오는 클라이언트 PXE 요청에 응답하도록 허용되어야 합니다. DHCP 권한 부여는 AD DS의 구성 컨테이너에 저장됩니다.

대개, Windows 배포 서비스 서버의 관리를 도메인 관리자나 엔터프라이즈 관리자 이외의 계정에 위임하고 이러한 일반적인 사용 권한을 위임된 계정에 부여하는 것이 유용할 수 있습니다. 위임된 관리자 계정은 위에 지정된 대로 로컬 및 도메인 관리자여야 합니다.

다음 표에는 일반 작업과 각 작업에 필요한 사용 권한이 나와 있습니다.

 

작업 필요한 사용 권한

이미지 그룹 추가 또는 제거

C:RemoteInstall\Images\이미지 그룹에 대한 모든 권한

이미지 추가 또는 제거

C:RemoteInstall\Images\이미지 그룹에 대한 모든 권한

이미지 사용 안 함

연결된 이미지 파일에 대한 속성을 읽고 쓰는 권한. 이미지를 사용하지 않도록 설정하면 이미지에 연결된 Windows 이미지(.wim) 파일이 숨겨집니다.

부팅 이미지 추가

다음에 대한 읽기 및 쓰기 권한:

  • C:RemoteInstall\Boot

  • C:RemoteInstall\Admin(이 폴더는 Windows Server 2003에서 업그레이드하는 경우에만 있음)

  • %TEMP%

부팅 이미지 제거

C:RemoteInstall\Boot에 대한 읽기 및 쓰기 권한

이미지에 대한 속성 설정

이미지를 표현하는 .wim 메타데이터 파일에 대한 읽기 및 쓰기 권한. 이 파일은 C:RemoteInstall\Images\이미지 그룹의 이미지 그룹 내에 있습니다.

컴퓨터 미리 구성

도메인에서 계정을 만들고 컴퓨터 개체의 속성에 쓸 수 있는 권한

  1. Active Directory 사용자 및 컴퓨터를 엽니다.

  2. 미리 구성된 컴퓨터 계정을 만들 OU(조직 구성 단위)를 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.

  3. 마법사의 첫 번째 화면에서 다음을 클릭합니다.

  4. 제어를 위임할 사용자 또는 그룹을 추가하고 다음을 클릭합니다.

  5. 위임할 사용자 지정 작업 만들기를 선택합니다.

  6. 폴더에 있는 다음 개체만을 선택합니다.

    1. 컴퓨터 개체 확인란을 선택합니다.

    2. 이 폴더에서 선택한 개체 만들기 확인란을 선택합니다.

    3. 다음을 클릭합니다.

  7. 사용 권한 상자에서 모든 속성 쓰기 확인란을 선택합니다.

  8. 마침을 클릭합니다.

보류 중인 컴퓨터 승인

RemoteInstall 공유에서 데이터베이스 파일 Binlsvcdb.mdb가 포함된 폴더(예: C:RemoteInstall\MGMT)에 대한 읽기 및 쓰기 권한. 승인된 보류 중인 컴퓨터의 실제 계정은 승인을 수행하는 관리자의 토큰이 아니라 서버의 인증 토큰을 사용하여 만듭니다. 따라서 AD DS에서 승인된 보류 중인 컴퓨터가 생성되는 컨테이너와 OU에 대한 컴퓨터 계정 개체를 만들 수 있는 권한을 Windows 배포 서비스 서버의 계정(WDSSERVER$)에 부여해야 합니다.

  1. Active Directory 사용자 및 컴퓨터를 엽니다.

  2. 미리 구성된 컴퓨터 계정을 만들 OU를 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.

  3. 마법사의 첫 번째 화면에서 다음을 클릭합니다.

  4. 컴퓨터를 포함할 개체 유형을 변경합니다.

  5. Windows 배포 서비스 서버의 컴퓨터 개체를 추가하고 다음을 클릭합니다.

  6. 위임할 사용자 지정 작업 만들기를 선택합니다.

  7. 폴더에 있는 다음 개체만을 선택합니다.

    1. 컴퓨터 개체 확인란을 선택합니다.

    2. 이 폴더에서 선택한 개체 만들기 확인란을 선택합니다.

    3. 다음을 클릭합니다.

  8. 사용 권한 상자에서 모든 속성 쓰기 확인란을 선택합니다.

  9. 마침을 클릭합니다.

도메인에 가입하도록 컴퓨터 미리 구성

사용자 계정에는 도메인에 가입할 수 있는 권한이 있어야 합니다. JoinRights 설정은 보안 권한 집합을 결정하고 사용자 속성은 도메인에 가입할 권한이 있는 사용자를 결정합니다.

JoinRights 설정에는 두 개의 값이 있습니다.

  • 조인만. 조인만 권한이 있는 사용자는 관리자 지원 없이 도메인에 가입할 수 없습니다. 클라이언트 설치와 도메인 가입 이전에 컴퓨터 계정 개체에 대한 적절한 사용 권한을 가진 관리자가 컴퓨터 계정을 다시 설정해야 합니다.

  • 전체. 전체 권한이 있는 사용자는 관리자 지원 없이 계정을 다시 설정하고 도메인에 가입할 수 있습니다.

사용자 속성에 대해서는 사용할 수 있는 두 개의 관리 모델이 있습니다.

  • (권장) 컴퓨터가 승인될 때 기본 사용자를 계정에 연결할 수 있습니다. 컴퓨터가 승인될 때 컴퓨터 계정에서 기본 사용자에게 다음 권한을 부여합니다.

    • 컴퓨터 개체에 대한 모든 속성 읽기 및 쓰기(JoinRights = JoinOnly 또는 JoinRights = Full)

    • 컴퓨터 개체에 대한 암호 권한 원래대로 설정 및 변경(JoinRights = Full)

  • 사용자에 대한 서버 기본값 및 지정된 아키텍처의 승인된 모든 클라이언트에 적용할 JoinRights를 지정할 수 있습니다. 기본값은 도메인 관리자에게 전체 가입 권한을 부여합니다. 승인 시 컴퓨터 계정에 기본 사용자를 할당하지 않으면 이러한 기본값이 적용됩니다.

    note참고
    영어가 아닌 도메인 컨트롤러에 대한 컴퓨터 계정을 만들고 기본 사용자 속성을 사용할 때, 확장 문자(예: XXXX)가 포함되지 않은 다른 계정을 사용하려면 자동 추가 설정을 지정해야 합니다. 이 값을 변경하려면 명령 프롬프트에서 WDSUTIL /set-server /AutoAddSettings에 대한 도움말을 참조하십시오.

기본 사용자와 JoinRights 속성은 컴퓨터 계정이 만들어질 때 설정됩니다. 따라서 컴퓨터 개체를 만들려면 보류 중인 컴퓨터를 승인할 때 필요한 권한과 동일한 권한이 필요합니다. 서버 단위(아키텍처 단위) 기본값을 변경하려면 다음 레지스트리 키에 대한 읽기 및 쓰기 권한이 필요합니다.

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<아키텍처>

    이름: JoinRights

    다음을 입력합니다. DWORD

    값: 0 = JoinOnly; 1 = Full

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<아키텍처>

    이름: 사용자

    다음을 입력합니다. REG_SZ

    값: 그룹 또는 사용자의 이름

RIPREP 이미지 변환

  • %TEMP% 디렉터리 및 대상 위치에 대한 읽기 및 쓰기 권한

  • 원래 RIPREP 이미지에 대한 읽기 권한

검색 또는 캡처 이미지 만들기

  • %TEMP% 디렉터리 및 대상 위치에 대한 읽기 및 쓰기 권한

  • 원래 부팅 이미지에 대한 읽기 권한

멀티캐스트 전송 만들기

  • 다음 레지스트리 키에 대한 모든 권한: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

  • \Images\이미지 그룹에 대한 읽기 권한

멀티캐스트 전송 수정(예: 삭제, 비활성화, 시작, 중지, 연결 끊기 등)

다음 레지스트리 키에 대한 모든 권한: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

일반적으로 클라이언트 설치를 수행하려면 도메인 사용자 권한이 필요합니다. 그러나 경우에 따라 추가 사용 권한이 필요할 수 있습니다. 이 절에서는 일반 설치 작업을 수행하는 데 필요한 최소 사용 권한 집합에 대해 간략하게 설명합니다.

 

작업 필요한 사용 권한

클라이언트 컴퓨터를 PXE 부팅

클라이언트를 PXE 부팅하는 데는 사용 권한이 필요하지 않고, 네트워크에서 부팅하는 프로세스를 보호할 메커니즘은 없습니다. 보안이 가장 중요한 사항일 때는 각 컴퓨터를 부팅하는 데 검색 이미지 등이 포함된 실제 미디어를 사용하는 것이 좋습니다.

부팅 이미지 선택

부팅 이미지를 선택하는 데는 사용 권한이 필요하지 않고, 목록에 표시되는 항목을 보호하는 메커니즘은 없습니다. 첫 번째 인증 메커니즘은 Windows PE 내에서 실행되는 Windows 배포 서비스 클라이언트를 사용하여 수행됩니다.

설치 이미지 선택

Windows 배포 서비스 클라이언트의 사용자 인터페이스에 제공된 자격 증명은 도메인 계정의 자격 증명이어야 합니다. Windows 배포 서비스 서버에 대해 클라이언트가 인증되면, 인증된 사용자는 RemoteInstall 폴더에서 install.wim 및 Res.rwm 파일을 읽을 수 있어야 합니다. 기본적으로 인증된 사용자는 이를 수행할 수 있는 권한을 가집니다.

도메인에 가입

사용자 계정에는 도메인에 가입할 수 있는 권한이 있어야 합니다. JoinRights 설정은 보안 권한 집합을 결정하고 사용자 속성은 도메인에 가입할 권한이 있는 사용자를 결정합니다.

JoinRights 설정에는 두 개의 값이 있습니다.

  • 조인만. 조인만 권한이 있는 사용자는 관리자 지원 없이 도메인에 가입할 수 없습니다. 클라이언트 설치와 도메인 가입 이전에 컴퓨터 계정 개체에 대한 적절한 사용 권한을 가진 관리자가 컴퓨터 계정을 다시 설정해야 합니다.

  • 전체. 전체 권한이 있는 사용자는 관리자 지원 없이 계정을 다시 설정하고 도메인에 가입할 수 있습니다.

사용자 속성에 대해서는 사용할 수 있는 두 개의 관리 모델이 있습니다.

  • (권장) 컴퓨터가 승인될 때 기본 사용자를 계정에 연결할 수 있습니다. 컴퓨터가 승인될 때 컴퓨터 계정에서 기본 사용자에게 다음 권한을 부여합니다.

    • 컴퓨터 개체에 대한 모든 속성 읽기 및 쓰기(JoinRights = JoinOnly 또는 JoinRights = Full)

    • 컴퓨터 개체에 대한 암호 권한 원래대로 설정 및 변경(JoinRights = Full)

  • 사용자에 대한 서버 기본값 및 지정된 아키텍처의 승인된 모든 클라이언트에 적용할 JoinRights를 지정할 수 있습니다. 기본값은 도메인 관리자에게 전체 가입 권한을 부여합니다. 승인 시 컴퓨터 계정에 기본 사용자를 할당하지 않으면 이러한 기본값이 적용됩니다.

컴퓨터가 미리 구성된 경우(즉, 실제 클라이언트 컴퓨터를 나타내는 컴퓨터 계정이 이미 AD DS에 있는 경우), 설치하는 사용자(또는 무인 파일에서 도메인 가입에 대한 자격 증명)은 앞에서 설명한 대로 적절한 JoinDomain 권한을 가져야 합니다.

컴퓨터가 미리 구성되지 않은 경우(즉, Windows 배포 서비스가 AD DS에서 컴퓨터 계정을 만드는 경우), 설치하는 사용자(또는 무인 파일에 지정된 도메인 가입에 대한 자격 증명)은 미리 구성된 컴퓨터와 적절한 JoinRights를 추가할 권한을 가져야 합니다.

/ResetBootProgram 사용

ResetBootProgram 기능을 사용하도록 설정하면, 사용자는 미리 구성된 컴퓨터 개체에서 netbootMachineFilePath 속성에 대한 읽기 및 쓰기 권한을 필요로 합니다. 이 사용 권한이 부여되지 않고 사용자의 부팅 프로그램이 pxeboot.n12로 설정되어 있으면, Windows 배포 서비스에서 NBP를 pxeboot.com으로 원래대로 설정할 수 없으므로 컴퓨터가 무한 재부팅 루프에 빠집니다. 자세한 내용은 네트워크 부팅 프로그램 관리를 참조하십시오.

설치하는 동안 명령 프로그램에 액세스할 수 없음

기본적으로 사용자는 Windows 배포 서비스를 설치하는 동안 다음을 통해 명령 프롬프트에 액세스할 수 있습니다.

  • 설치 프로그램이 Windows PE에서 실행될 때 Shift+F10을 누릅니다.

  • 이미지 캡처 마법사가 Windows PE에서 실행될 때 Shift+F10을 누릅니다.

  • Microsoft Windows PE(Windows 사전 설치 환경)가 부팅될 때 Ctrl 키를 누르고 있습니다.

  • OOBE(Out of Box Experience)가 실행될 때 Shift+F10을 누릅니다. OOBE는 일반적으로 설치 이후 실행되는 마법사입니다.

    Important중요
    OOBE 중에 열리는 명령 프롬프트 창은 시스템 컨텍스트에서 실행됩니다. 설치가 완료될 때 이 창이 닫히지 않으면, 사용자가 클라이언트 컴퓨터의 로컬 관리자가 아닌 경우에도 창에 액세스할 수 있으므로 시스템 권한을 가질 수 있습니다.

DisableCmdRequest.tag를 이미지에 추가하여 이 기능을 사용하지 않도록 설정할 수 있습니다.

  1. Windows 배포 서비스 MMC 스냅인에서 원하는 부팅 이미지를 마우스 오른쪽 단추로 클릭하고 사용 안 함을 선택합니다.

  2. Windows AIK(자동 설치 키트)에 제공된 도구를 사용하여 읽기 및 쓰기 권한에 대한 이미지를 탑재합니다.

  3. 탑재된 이미지에서 파일 %windir%\Setup\Scripts\DisableCmdRequest.tag를 만듭니다.

  4. 변경 내용을 커밋하고 이미지를 분리합니다.

  5. Windows 배포 서비스 MMC 스냅인에서 원하는 부팅 이미지를 마우스 오른쪽 단추로 클릭하고 사용을 선택합니다.

  1. Windows 배포 서비스 MMC 스냅인에서 원하는 부팅 이미지를 마우스 오른쪽 단추로 클릭하고 사용 안 함을 선택합니다.

  2. 이미지를 외부 .wim 파일로 내보냅니다.

  3. Windows AIK에 제공된 도구를 사용하여 읽기 및 쓰기 권한에 대한 이미지를 탑재합니다.

  4. 탑재된 이미지에서 파일 %windir%\Setup\Scripts\DisableCmdRequest.tag를 만듭니다.

  5. 변경 내용을 커밋하고 이미지를 분리합니다.

  6. Windows 배포 서비스 MMC 스냅인에서 사용하지 않도록 설정된 설치 이미지를 마우스 오른쪽 단추로 클릭하고 이미지 바꾸기를 선택합니다.

  7. 마법사의 지침에 따라 수정된 설치 이미지를 다시 가져옵니다.

다음 절에서는 서버 속성 페이지를 사용하여 일반 관리 작업을 수행하는 데 필요한 최소 사용 권한 집합에 대해 간략하게 설명합니다. 이러한 설정에 액세스하려면 Windows 배포 서비스 MMC 스냅인을 열고 서버를 마우스 오른쪽 단추로 클릭한 후 속성을 클릭합니다.

 

사용 권한이 필요한 설정

PXE 응답 설정

  • PXE 응답 정책 . PXE 응답 정책은 서버의 SCP(Simple Control Protocol)에 저장됩니다. 이러한 설정을 구성하려면 이 개체에 대한 읽기 및 쓰기 권한이 필요합니다.

    1. Active Directory사용자 및 컴퓨터를 엽니다.

    2. 보기, 고급 기능을 차례로 클릭합니다(아직 사용하도록 설정하지 않는 경우).

    3. Windows 배포 서비스 서버에 대한 컴퓨터 계정을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

    4. 원격 설치 탭에서 고급 설정...을 선택합니다.

    5. 보안 탭을 선택하고 추가...를 클릭합니다.

    6. 사용자를 선택한 다음 이 개체에 대한 모든 권한을 선택합니다.

  • PXE 응답 지연 . PXE 응답 지연은 서버의 SCP에 저장됩니다. 서버에 대한 PXE 응답 지연을 구성하려면 다음 개체를 읽고 이 개체에 쓸 수 있어야 합니다.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE\Providers\BINLSVC

    • 이름: netbootAnswerRequests

    • 다음을 입력합니다. REG_SZ

    • 값: False = 클라이언트 요청에 응답 안 함, True = 클라이언트 요청에 응답

디렉터리 서비스

  • 새 클라이언트 명명 정책 . 이 설정은 서버의 SCP 개체에 저장됩니다. 속성 이름: netbootNewMachineNamingPolicy

  • 클라이언트 계정 위치 . 이 설정은 서버의 SCP 개체에 저장됩니다. 속성 이름: netbootNewMachineOU

부팅

기본 부팅 프로그램

  • 서버 수준: 이 옵션은 다음 레지스트리 키로 제어됩니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootPrograms\<아키텍처>

    • 이름: 기본값

    • 다음을 입력합니다. REG_SZ

    • 값: 이 아키텍처에 대한 서버 수준 클라이언트 기본 부팅 프로그램의 경로. 예를 들면 다음과 같습니다. boot\x86\pxeboot.com

  • 컴퓨터 단위: 컴퓨터 계정 특성: netbootMachineFilePath

기본 부팅 이미지

  • 서버 수준: 이 옵션은 다음 레지스트리 키로 제어됩니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootImages\<아키텍처>

    • 이름: BootImagePath

    • 다음을 입력합니다. REG_SZ

    • 값: 이 아키텍처에 대한 서버 수준 클라이언트 기본 부팅 이미지의 경로. 예를 들면 다음과 같습니다. boot\x86\images\boot.wim

  • 컴퓨터 단위: 컴퓨터 계정 특성: netbootMirrorDataFile

클라이언트

무인 파일

  • 서버 수준: 이 옵션은 다음 레지스트리 키로 제어됩니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend\x86

    • 이름: FilePath

    • 다음을 입력합니다. REG_SZ

    • 값: RemoteInstall 폴더에 상대적인 서버 수준 클라이언트 무인 파일의 경로. 예를 들면 다음과 같습니다. WdsClientUnattend\WdsUnattend.xml

  • 컴퓨터 단위: 컴퓨터 계정 특성은 netbootMirrorDataFile입니다.

클라이언트 계정 만들기

  • 이 옵션은 다음 레지스트리 키로 제어됩니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    • 이름: NewMachineDomainJoin

    • 다음을 입력합니다. DWORD

    • 값: 0 = 클라이언트가 도메인에 가입하는 것을 차단, 1 = 클라이언트가 도메인에 가입하는 것을 허용

DHCP

  • 포트 67에서 수신 대기 안 함 . 이 옵션은 다음 레지스트리 키로 제어됩니다.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE

    • 이름: UseDhcpPorts

    • 다음을 입력합니다. DWORD

    • 값: 0 사용 안 함; 1 사용

  • DHCP 옵션 60을 "PXEClient"로 구성.이 작업을 수행하려면 사용자가 로컬 컴퓨터에서 실행되는 Microsoft DHCP 서버를 구성할 수 있어야 합니다.

고급

  • Windows 배포 서비스 서버(이 서버)에서 사용하는 DC/GC. 이러한 설정은 다음 레지스트리 위치에 저장됩니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    이러한 설정에 대한 키는 다음과 같습니다.

    기본 도메인 컨트롤

    • 이름: DefaultServer

    • 다음을 입력합니다. REG_SZ

    • 값: 기본 도메인 컨트롤에 대한 FQDN

    기본 글로벌 카탈로그 서버

    • 이름: DefaultGCServer

    • 다음을 입력합니다. REG_SZ

    • 값: 기본 글로벌 카탈로그 서버에 대한 FQDN

  • DHCP 권한 부여. DHCP API를 사용하여 수행됩니다. Microsoft DHCP 서버에 권한을 부여할 수 있는 권한이 필요합니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft