내보내기(0) 인쇄
모두 확장

기본 그룹

업데이트 날짜: 2005년 1월

적용 대상: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

기본 그룹

Domain Admins 그룹 같은 기본 그룹은 Active Directory 도메인을 만들 때 자동으로 만들어지는 보안 그룹입니다. 미리 정의된 이러한 그룹을 사용하면 공유 리소스에 대한 액세스를 제어하고 도메인 전역에 걸친 특정 관리 역할을 위임하는 데 도움이 될 수 있습니다. 로컬 컴퓨터에 저장된 기본 그룹에 대한 자세한 내용은 기본 로컬 그룹을 참조하십시오.

기본 그룹의 구성원이 로컬 시스템에 로그온 또는 파일 및 폴더 백업 같은 특정 작업을 도메인에서 수행할 수 있도록 허용하는 사용자 권한 집합을 자동으로 많은 기본 그룹에 할당합니다. 예를 들어 Backup Operators 그룹의 구성원은 도메인의 모든 도메인 컨트롤러에 대한 백업 작업을 수행할 수 있는 권한을 갖고 있습니다.

사용자를 그룹에 추가하면 그 사용자는 그 그룹에 할당된 모든 사용자 권한과 모든 공유 리소스에 대해 그룹에 할당된 모든 사용 권한을 받습니다. 사용자 권한에 대한 자세한 내용은 그룹 종류를 참조하십시오.

Active Directory 사용자 및 컴퓨터를 사용하면 그룹을 관리할 수 있습니다. 기본 그룹은 Builtin 컨테이너와 사용자 컨테이너에 있습니다. Builtin 컨테이너에는 도메인 로컬 범위를 가진 것으로 정의된 그룹이 있습니다. 사용자 컨테이너에는 글로벌 범위를 가진 것으로 정의된 그룹과 도메인 로컬 범위를 가진 것으로 정의된 그룹이 있습니다. 이러한 컨테이너에 있는 그룹을 같은 도메인에 있는 다른 그룹이나 조직 구성 단위로는 이동할 수 있지만 다른 도메인으로는 이동할 수 없습니다.

최상의 보안을 위해 폭 넓은 관리 액세스 권한을 가진 기본 그룹의 구성원은 다음 계정으로 실행을 사용하여 관리 작업을 수행하는 것이 좋습니다. 자세한 내용은 다음 계정으로 실행 사용을 참조하십시오. 보안에 대한 유용한 정보는 Active Directory에 대한 유용한 정보를 참조하십시오. 기타 Active Directory 보안 방법에 대한 자세한 내용은 Active Directory 보안을 참조하십시오.

참고

  • 특정 절차를 수행하기 위해 어떤 그룹의 구성원이 되어야 하는지 보려면 도움말 및 지원 센터의 사용법 ¾Æ·¡¿¡ ÀÖ´Â 여러 절차 항목을 참조하십시오.

Builtin 컨테이너의 그룹

아래의 표는 Builtin 컨테이너에 있는 기본 그룹을 설명하고 각 그룹에 할당된 사용자 권한을 나열한 것입니다. 표에 나와 있는 사용자 권한에 대한 전체 설명을 보려면 사용자 권한 할당을 참조하십시오. 이 권한을 편집하는 방법에 대한 자세한 내용은 그룹 정책 개체에서 보안 설정 편집을 참조하십시오.

 

그룹 ¼³¸í 기본 사용자 권한

Account Operators

이 그룹의 구성원은 Users 또는 Computers 컨테이너와 Domain Controllers 조직 구성 단위를 제외한 도메인의 조직 구성 단위에 있는 사용자, 그룹 및 컴퓨터에 대한 계정을 만들고, 수정하고, 삭제할 수 있습니다. 이 그룹의 구성원에게는 Administrators 그룹이나 Domain Admins 그룹을 수정할 수 있는 사용 권한도 없고 이러한 그룹의 구성원에 대한 계정을 수정할 수 있는 사용 권한도 없습니다. 이 그룹의 구성원은 도메인 안의 도메인 컨트롤러에 로컬로 로그온할 수 있고 종료할 수도 있습니다. 이 그룹은 도메인에서 중요한 권한을 갖고 있으므로 사용자를 추가할 때는 주의해야 합니다.

로컬 로그온 허용, 시스템 종료

Administrators

이 그룹의 구성원은 도메인에 있는 모든 도메인 컨트롤러에 대한 모든 권한을 가지고 있습니다. 기본적으로 Domain Admins 그룹과 Enterprise Admins 그룹은 Administrators 그룹의 구성원입니다. Administrator 계정은 기본 구성원이기도 합니다. 이 그룹은 도메인에 모든 권한을 가지고 있으므로 사용자를 추가할 때는주의해야 합니다.

네트워크에서 이 컴퓨터 액세스, 프로세스별 메모리 할당량 조정, 파일 및 디렉터리 백업, 트래버스 확인 통과, 시스템 시간 바꾸기, 페이지 파일 만들기, 프로그램 디버깅, 컴퓨터 및 사용자 계정을 대리인에게 트러스트하도록 허용, 원격 시스템에서 강제로 시스템 종료, 스케줄링 우선 순위 증가, 장치 드라이버 로드 및 언로드, 로컬 로그온 허용, 감사 및 보안 로그 관리, 펌웨어 환경 값 수정, 단일 프로세스 프로필, 시스템 성능 프로필, 컴퓨터를 도킹 스테이션에서 제거, 파일 및 디렉터리 복원, 시스템 종료, 파일 또는 다른 개체의 소유권 가져오기

Backup Operators

이 그룹의 구성원은 해당 파일에 대한 자신의 개별 사용 권한에 관계없이 도메인에 있는 도메인 컨트롤러의 모든 파일을 백업하고 복원할 수 있습니다. Backup Operators는 또한 도메인 컨트롤러에 로그온하고 도메인 컨트롤러를 종료할 수도 있습니다. 이 그룹에는 기본 구성원이 없습니다. 이 그룹은 도메인 컨트롤러에서 중요한 권한을 갖고 있으므로 사용자를 추가할 때는 주의해야 합니다.

파일 및 디렉터리 백업, 로컬 로그온 허용, 파일 및 디렉터리 복원, 시스템 종료

Guests

기본적으로 Domain Guests 그룹은 이 그룹의 구성원이 됩니다. Guest 계정은 기본적으로 사용되지 않으며 역시 이 그룹의 기본 구성원입니다.

기본 사용자 권한 없음

Incoming Forest Trust Builders(포리스트 루트 도메인에만 나타남)

이 그룹의 구성원은 포리스트 루트 도메인으로의 단방향의 받는 포리스트 트러스트를 만들 수 있습니다. 예를 들어 포리스트 A에 속한 이 그룹의 구성원은 포리스트 B로부터의 단방향의 받는 포리스트 트러스트를 만들 수 있습니다. 포리스트 A의 사용자는 이 단방향의 받는 포리스트 트러스트를 사용하여 포리스트 B에 속한 리소스에 액세스할 수 있습니다. 이 그룹의 구성원에게는 포리스트 루트 도메인에 대한 들어오는 포리스트 트러스트 만들기 사용 권한이 부여됩니다. 이 그룹에는 기본 구성원이 없습니다. 포리스트 트러스트를 만드는 방법에 대한 자세한 내용은 포리스트 트러스트 만들기를 참조하십시오.

기본 사용자 권한 없음

Network Configuration Operators

이 그룹의 구성원은 TCP/IP 설정을 변경할 수 있고 도메인에 있는 도메인 컨트롤러의 TCP/IP 주소를 갱신하고 해제할 수 있습니다. 이 그룹에는 기본 구성원이 없습니다.

기본 사용자 권한 없음

Performance Monitor Users

이 그룹의 구성원은 로컬로 그리고 Administrators 또는 Performance Log Users 그룹의 구성원이 아닌 원격 컴퓨터에서 도메인에 있는 도메인 컨트롤러의 성능 카운터를 모니터링할 수 있습니다.

기본 사용자 권한 없음

Performance Log Users

이 그룹의 구성원은 로컬로 그리고 Administrators 그룹의 구성원이 아닌 원격 컴퓨터에서 도메인에 있는 도메인 컨트롤러의 성능 카운터, 로그 및 경고를 관리할 수 있습니다.

기본 사용자 권한 없음

Windows 2000 이전 버전 호환 액세스

이 그룹의 구성원에게는 도메인의 모든 사용자와 그룹에 대한 읽기 권한이 있습니다. 이 그룹은 Windows NT 4.0 이전 버전을 실행하는 컴퓨터에 이전 버전과의 호환성을 제공하기 위한 것입니다. 기본적으로 Everyone 특수 식별자는 이 그룹의 구성원이 됩니다. 특수 식별자에 대한 자세한 내용은 특수 ID를 참조하십시오. 사용자가 Windows NT 4.0 이전 버전을 실행하는 경우에만 이 그룹에 추가하십시오.

네트워크에서 이 컴퓨터 액세스, 트래버스 확인 통과

Print Operators

이 그룹의 구성원은 도메인의 도메인 컨트롤러에 연결된 프린터를 관리하고 만들고 공유하고 삭제할 수 있습니다. 이 그룹의 구성원은 또한 도메인의 Active Directory 프린터 개체도 관리할 수 있습니다. 이 그룹의 구성원은 도메인 안의 도메인 컨트롤러에 로컬로 로그온할 수 있고 종료할 수도 있습니다. 이 그룹에는 기본 구성원이 없습니다. 이 그룹의 구성원은 도메인에 있는 모든 도메인 컨트롤러의 장치 드라이버를 로드하고 언로드할 수 있으므로 사용자를 추가할 때 주의해야 합니다.

로컬 로그온 허용, 시스템 종료

Remote Desktop Users

이 그룹의 구성원은 도메인의 도메인 컨트롤러에 원격으로 로그온할 수 있습니다. 이 그룹에는 기본 구성원이 없습니다.

기본 사용자 권한 없음

Replicator

이 그룹은 디렉터리 복제 기능을 지원하며 도메인의 도메인 컨트롤러에서 파일 복제 서비스에 의해 사용됩니다. 이 그룹에는 기본 구성원이 없습니다. 이 그룹에 사용자를 추가하지 마십시오.

기본 사용자 권한 없음

Server Operators

도메인 컨트롤러에서 이 그룹의 구성원은 대화형 로그온, 공유 리소스 생성 및 삭제, 일부 서비스 시작 및 중지, 파일 백업 및 복원, 하드 디스크 포맷, 컴퓨터 종료에 대한 권한이 있습니다. 이 그룹에는 기본 구성원이 없습니다. 이 그룹은 도메인 컨트롤러에서 중요한 권한을 갖고 있으므로 사용자를 추가할 때는 주의해야 합니다.

파일 및 디렉터리 백업, 시스템 시간 변경, 원격 시스템에서 강제로 시스템 종료, 원격 로그온 허용, 파일 및 디렉터리 복원, 시스템 종료

Users

이 그룹의 구성원은 응용 프로그램 실행, 로컬 및 네트워크 프린터 사용, 서버 잠금과 같은 대부분의 일반적인 작업을 수행할 수 있습니다. 기본적으로 Domain Users 그룹, Authenticated Users 및 Interactive는 이 그룹의 구성원이 됩니다. 따라서 도메인에서 만든 모든 사용자 계정은 이 그룹의 구성원이 됩니다.

기본 사용자 권한 없음

사용자 컨테이너의 그룹

아래의 표는 사용자 컨테이너에 있는 기본 그룹을 설명하고 각 그룹에 할당된 사용자 권한을 나열한 것입니다. 표에 나와 있는 사용자 권한에 대한 전체 설명을 보려면 사용자 권한 할당을 참조하십시오. 이 권한을 편집하는 방법에 대한 자세한 내용은 그룹 정책 개체에서 보안 설정 편집을 참조하십시오.

 

그룹 ¼³¸í 기본 사용자 권한

Cert Publishers

이 그룹의 구성원은 사용자와 컴퓨터에 대한 인증서를 게시할 수 있습니다. 이 그룹에는 기본 구성원이 없습니다.

기본 사용자 권한 없음

DnsAdmins(DNS와 함께 설치됨)

이 그룹의 구성원에게는 DNS 서버 서비스에 대한 관리 액세스 권한이 있습니다. 이 그룹에는 기본 구성원이 없습니다.

기본 사용자 권한 없음

DnsUpdateProxy(DNS와 함께 설치됨)

이 그룹의 구성원은 DHCP 서버 같은 다른 클라이언트 대신 동적 업데이트를 수행할 수 있는 DNS 클라이언트입니다. 이 그룹에는 기본 구성원이 없습니다.

기본 사용자 권한 없음

Domain Admins

이 그룹의 구성원에게는 도메인의 모든 권한이 있습니다. 기본적으로 이 그룹은 모든 도메인 컨트롤러, 모든 도메인 워크스테이션 및 모든 도메인 구성원 서버가 도메인에 가입할 때 해당 시스템에 속한 Administrators 그룹의 구성원이 됩니다. 기본적으로 Administrator 계정은 이 그룹의 구성원이 됩니다. 그룹에 도메인의 모든 권한이 있으므로 사용자를 추가할 때 주의해야 합니다.

네트워크에서 이 컴퓨터 액세스, 프로세스별 메모리 할당량 조정, 파일 및 디렉터리 백업, 트래버스 확인 통과, 시스템 시간 바꾸기, 페이지 파일 만들기, 프로그램 디버깅, 컴퓨터 및 사용자 계정을 대리인에게 트러스트하도록 허용, 원격 시스템에서 강제로 시스템 종료, 스케줄링 우선 순위 증가, 장치 드라이버 로드 및 언로드, 로컬 로그온 허용, 감사 및 보안 로그 관리, 펌웨어 환경 값 수정, 단일 프로세스 프로필, 시스템 성능 프로필, 컴퓨터를 도킹 스테이션에서 제거, 파일 및 디렉터리 복원, 시스템 종료, 파일 또는 다른 개체의 소유권 가져오기

Domain Computers

이 그룹에는 도메인에 가입한 모든 워크스테이션과 서버가 포함됩니다. 기본적으로 만든 모든 컴퓨터 계정이 자동으로 이 그룹의 구성원이 됩니다.

기본 사용자 권한 없음

Domain Controllers

이 그룹에는 도메인의 모든 도메인 컨트롤러가 포함됩니다.

기본 사용자 권한 없음

Domain Guests

이 그룹에는 모든 도메인 게스트가 포함됩니다.

기본 사용자 권한 없음

Domain Users

이 그룹에는 모든 도메인 사용자가 포함됩니다. 기본적으로 도메인에서 만든 모든 사용자 계정이 자동으로 이 그룹의 구성원이 됩니다. 이 그룹은 도메인의 모든 사용자를 나타내는 데 사용될 수 있습니다. 예를 들어 모든 도메인 사용자가 프린터에 액세스할 수 있도록 하려면 이 그룹에 프린터 사용 권한을 할당하거나 인쇄 서버에서 프린터 사용 권한을 가진 로컬 그룹에 Domain Users 그룹을 추가할 수 있습니다.

기본 사용자 권한 없음

Enterprise Admins(포리스트 루트 도메인에만 나타남)

이 그룹의 구성원은 포리스트에 있는 모든 도메인에 대한 모든 권한을 가지고 있습니다. 기본적으로 이 그룹은 포리스트에 있는 모든 도메인 컨트롤러에 속한 Administrators 그룹의 구성원이 됩니다. 기본적으로 Administrator 계정은 이 그룹의 구성원이 됩니다. 이 그룹에 포리스트의 모든 권한이 있으므로 사용자를 추가할 때는 주의해야 합니다.

네트워크에서 이 컴퓨터 액세스, 프로세스 별 메모리 할당량 조정, 파일 및 디렉터리 백업, 트래버스 확인 통과, 시스템 시간 바꾸기, 페이지 파일 만들기, 프로그램 디버깅, 컴퓨터 및 사용자 계정을 대리인에게 트러스트하도록 허용, 원격 시스템에서 강제로 시스템 종료, 스케줄링 우선 순위 증가, 장치 드라이버 로드 및 언로드, 로컬 로그온 허용, 감사 및 보안 로그 관리, 펌웨어 환경 값 수정, 단일 프로세스 프로필, 시스템 성능 프로필, 컴퓨터를 도킹 스테이션에서 제거, 파일 및 디렉터리 복원, 시스템 종료, 파일 또는 다른 개체의 소유권 가져오기

Group Policy Creator Owners

이 그룹의 구성원은 도메인의 그룹 정책을 수정할 수 있습니다. 기본적으로 Administrator 계정은 이 그룹의 구성원이 됩니다. 이 그룹은 도메인에서 중요한 권한을 갖고 있으므로 사용자를 추가할 때는 주의해야 합니다.

기본 사용자 권한 없음

IIS_WPG(IIS와 함께 설치됨)

IIS_WPG 그룹은 IIS(인터넷 정보 서비스) 6.0 작업자 프로세스 그룹입니다. 특정 네임스페이스를 서비스하는 작업자 프로세스는 IIS 6.0의 기능 내에 있습니다. 예를 들어 www.microsoft.com은 MicrosoftAccount 같은 IIS_WPG 그룹에 추가된 ID로 실행될 수 있는 작업 프로세스에서 서비스되는 네임스페이스입니다. 이 그룹에는 기본 구성원이 없습니다.

기본 사용자 권한 없음

RAS and IAS Servers

이 그룹의 서버는 사용자의 원격 액세스 속성에 액세스할 수 있습니다.

기본 사용자 권한 없음

Schema Admins(포리스트 루트 도메인에만 나타남)

이 그룹의 구성원은 Active Directory 스키마를 수정할 수 있습니다. 기본적으로 Administrator 계정은 이 그룹의 구성원이 됩니다. 이 그룹은 포리스트에서 중요한 권한을 갖고 있으므로 사용자를 추가할 때는 주의해야 합니다.

기본 사용자 권한 없음

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft