역할 기반 액세스 제어 이해

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2011-04-28

RBAC(Role Based Access Control)는 Microsoft Exchange Server 2010의 새 사용 권한 모델입니다. RBAC를 사용하면 Exchange Server 2007에서처럼 ACL(액세스 제어 목록)을 수정하고 관리할 필요가 없습니다. Exchange 2007의 경우 원치 않는 결과가 발생되지 않도록 ACL을 수정하고, 업그레이드를 통해 ACL 수정 사항을 유지 관리하고, 비표준 방식의 ACL 사용으로 인해 발생하는 문제를 해결해야 했습니다.

RBAC를 사용하면 관리자와 최종 사용자가 수행할 수 있는 작업을 포괄적인 수준과 세부적인 수준으로 제어할 수 있습니다. 또한 조직 내에서 사용자 및 관리자가 맡은 실제 역할에 좀 더 적합한 역할을 사용자 및 관리자에게 할당할 수도 있습니다. Exchange 2007에서는 서버 사용 권한 모델이 Exchange 2007 인프라를 관리하는 관리자에게만 적용되었습니다. Exchange 2010에서는 RBAC가 수행 가능한 관리 작업과 사용자가 해당 사서함 및 메일 그룹을 관리할 수 있는 범위를 모두 제어합니다.

RBAC에는 사용자가 관리자인지, 전문가 사용자인지 또는 최종 사용자인지에 따라 조직의 사용자에게 사용 권한을 할당하는 두 가지 주요한 방법이 있습니다. 관리 역할 그룹과 관리 역할 할당 정책. 두 방법 모두 사용자에게 작업 수행에 필요한 사용 권한을 연결합니다. 세 번째로, 더욱 향상된 방법인 직접 사용자 역할 할당을 사용할 수도 있습니다. 이 항목의 다음 섹션에서는 RBAC에 대해 설명하고 사용 예를 제공합니다.

참고

이 항목에서는 고급 RBAC 기능에 대해 중점적으로 설명합니다. ECP(Exchange제어판)를 사용하여 구성원을 역할 그룹에 추가 및 역할 그룹에서 제거, 역할 그룹 생성과 수정 또는 역할 할당 정책 생성과 수정과 같은 기본 Exchange 2010권한을 관리하려면, 사용 권한 이해를 참조하세요.

목차

관리 역할 그룹

관리 역할 할당 정책

직접 사용자 역할 할당

요약 및 예

자세한 내용

관리 역할 그룹

관리 역할 그룹은 관리 역할을 관리자 또는 전문가 사용자 그룹과 연결합니다. 관리자는 광범위한 Exchange 조직 또는 받는 사람 구성을 관리합니다. 전문가 사용자는 규정 준수와 같은 Exchange의 특정 기능을 관리합니다. 또는 지원 센터 구성원과 같은 제한된 관리 역할을 부여 받았지만 광범위한 관리 권한을 부여 받지 못할 수 있습니다. 역할 그룹은 일반적으로 관리자 및 전문가 사용자가 조직 및 수신인의 구성을 관리하도록 허용하는 관리 역할을 연결합니다. 예를 들어 관리자가 수신인을 관리할 수 있는지, 또는 역할 그룹을 사용하여 사서함 검색 기능 사용을 제어할 수 있는지 여부 등이 있습니다.

역할 그룹에서 사용자를 추가 또는 제거하는 것은 관리자 또는 전문가 사용자에게 사용 권한을 할당하는 빈도와 같습니다. 자세한 내용은 관리 역할 그룹 이해를 참조하십시오.

역할 그룹은 관리자 및 전문가 사용자가 수행할 수 있는 작업을 정의하는 다음 구성 요소로 이루어져 있습니다.

  • 관리 역할 그룹   관리 역할 그룹은 역할 그룹의 구성원인 사서함, 사용자, USG 및 기타 역할 그룹이 포함된 특수 USG(유니버설 보안 그룹)입니다. 이 그룹에 구성원을 추가 및 제거하며 관리 역할이 할당되는 것도 이 그룹입니다. 역할 그룹의 모든 역할이 조합되어 역할 그룹에 추가된 사용자가 Exchange 조직에서 관리할 수 있는 항목을 정의합니다.

  • 관리 역할   관리 역할은 관리 역할 항목 그룹에 대한 컨테이너입니다. 역할은 해당 역할이 할당된 역할 그룹의 구성원이 수행할 수 있는 특정 작업을 정의하는 데 사용됩니다. 관리 역할 항목은 역할의 각 특정 작업을 수행할 수 있도록 하는 cmdlet, 스크립트 또는 특수 사용 권한입니다. 자세한 내용은 관리 역할 이해를 참조하십시오.

  • 관리 역할 할당   관리 역할 할당은 역할과 역할 그룹을 연결합니다. 역할 그룹에 역할을 할당하면 역할 그룹의 구성원에게 역할에 정의된 cmdlet과 매개 변수를 사용할 수 있는 권한이 부여됩니다. 역할 할당에서 관리 범위를 사용하여 할당을 사용할 수 있는 영역을 제어할 수 있습니다. 자세한 내용은 관리 역할 할당 이해를 참조하십시오.

  • 관리 역할 범위   관리 역할 범위는 역할 할당에 미치는 영향의 범위입니다. 범위를 사용하여 역할 그룹에 역할을 할당하면 관리 범위가 할당에서 관리할 수 있는 대상 개체를 구체적으로 지정합니다. 할당과 할당 범위는 역할 그룹의 구성원에게 할당되고 구성원이 관리할 수 있는 항목을 제한합니다. 범위는 서버 목록이나 데이터베이스 목록, OU(조직 구성 단위) 또는 서버나 받는 사람 개체의 필터로 구성될 수 있습니다. 자세한 내용은 관리 역할 범위 이해를 참조하십시오.

역할 그룹에 사용자를 추가하면 해당 역할 그룹에 할당된 모든 역할이 사용자에게 부여됩니다. 역할 그룹과 역할 간 역할 할당에 범위가 적용된 경우 이러한 범위는 사용자가 관리할 수 있는 서버 구성 또는 받는 사람을 제어합니다.

역할 그룹에 할당되는 역할을 변경하려면 역할 그룹을 역할에 연결하는 역할 할당을 변경해야 합니다. Exchange 2010에 기본 제공된 할당이 필요에 맞지 않는 경우에만 이러한 할당을 변경하면 됩니다. 자세한 내용은 관리 역할 할당 이해를 참조하십시오.

역할 그룹에 대한 자세한 내용은 관리 역할 그룹 이해을 참조하십시오.

맨 위로 이동

관리 역할 할당 정책

관리 역할 할당 정책은 최종 사용자 관리 역할에 사용자를 연결합니다. 역할 할당 정책은 사용자가 자신의 사서함 또는 메일 그룹을 사용하여 수행할 수 있는 작업을 제어하는 역할로 구성됩니다. 이러한 역할은 사용자와 직접 연결되지 않은 기능의 관리를 허용하지 않습니다. 역할 할당 정책을 만들 때는 사용자가 사서함을 사용하여 수행할 수 있는 모든 작업을 정의합니다. 예를 들어 사용자가 표시 이름을 설정하고, 음성 메일을 설정하고, 받은 편지함 규칙을 구성하도록 허용하는 역할 할당 정책이 있을 수 있습니다. 또 다른 역할 할당 정책은 사용자가 주소를 변경하고, 텍스트 메시징을 사용하고, 메일 그룹을 설정하도록 허용할 수 있습니다. 관리자를 포함하여 Exchange 2010 사서함을 사용하는 모든 사용자에게는 기본적으로 역할 할당 정책이 지정됩니다. 기본적으로 할당할 역할 할당 정책을 결정하거나, 기본 역할 할당 정책에 포함할 내용을 선택하거나, 특정 사서함에 대해 기본값을 다시 정의하거나, 기본적으로 어떠한 역할 할당 정책도 할당하지 않을 수 있습니다.

할당 정책에 사용자를 할당하는 것은 자신의 사서함 및 메일 그룹 옵션을 관리하는 사용자의 권한을 관리하는 빈도와 같습니다. 자세한 내용은 관리 역할 할당 정책 이해를 참조하십시오.

역할 할당 정책은 사용자가 자신의 사서함을 사용하여 수행할 수 있는 작업을 정의하는 다음 구성 요소로 이루어집니다. 동일한 구성 요소의 일부를 역할 그룹에 적용할 수도 있습니다. 역할 할당 정책과 함께 사용할 경우 이러한 구성 요소는 사용자가 자신의 사서함만 관리하도록 허용하기 위해 제한됩니다.

  • 관리 역할 할당 정책   관리 역할 할당 정책은 Exchange 2010의 특수 개체입니다. 사서함이 만들어지거나 사서함의 역할 할당 정책을 변경하면 사용자가 역할 할당 정책과 연결됩니다. 최종 사용자 관리 역할도 이 정책에 할당합니다. 역할 할당 정책의 모든 역할이 조합되어 사용자가 자신의 사서함이나 메일 그룹에서 관리할 수 있는 항목을 정의합니다.

  • 관리 역할   관리 역할은 관리 역할 항목 그룹에 대한 컨테이너입니다. 역할은 사용자가 자신의 사서함이나 메일 그룹에 대해 수행할 수 있는 특정 작업을 정의하는 데 사용됩니다. 관리 역할 항목은 관리 역할의 각 특정 작업을 수행할 수 있도록 하는 cmdlet, 스크립트 또는 특수 사용 권한입니다. 역할 할당 정책에만 최종 사용자 역할을 사용할 수 있습니다. 자세한 내용은 관리 역할 이해를 참조하십시오.

  • 관리 역할 할당   관리 역할 할당은 역할과 역할 할당 정책 간의 연결입니다. 역할 할당 정책에 역할을 할당하면 역할에 정의된 cmdlet과 매개 변수를 사용할 수 있는 권한이 부여됩니다. 역할 할당 정책과 역할 간에 역할 할당을 만드는 경우 범위를 지정할 수 없습니다. 할당에 의해 적용되는 범위는 Self 또는 MyGAL입니다. 모든 역할 할당은 사용자의 사서함 또는 메일 그룹으로 범위가 지정됩니다. 자세한 내용은 관리 역할 할당 이해를 참조하십시오.

역할 할당 정책에 할당되는 역할을 변경하려면 역할 할당 정책을 역할에 연결하는 역할 할당을 변경해야 합니다. Exchange 2010에 기본 제공된 할당이 필요에 맞지 않는 경우에만 이러한 할당을 변경하면 됩니다. 자세한 내용은 관리 역할 할당 이해를 참조하십시오.

자세한 내용은 관리 역할 할당 정책 이해를 참조하십시오.

맨 위로 이동

직접 사용자 역할 할당

직접 사용자 역할 할당은 역할 그룹 또는 역할 할당 정책을 사용하지 않고 관리 역할을 직접 사용자 또는 USG에 할당하기 위한 향상된 방법입니다. 직접 역할 할당은 특정 사용자에게만 세부적인 사용 권한 집합을 제공해야 하는 경우 유용할 수 있습니다. 그러나 직접 역할 할당을 사용하면 사용 권한 모델이 매우 복잡해질 수 있습니다. 사용자가 직무를 변경하거나 퇴사할 경우 할당을 수동으로 제거하고 새 직원에게 추가해야 합니다. 역할 그룹을 사용하여 관리자와 전문가 사용자에게 사용 권한을 할당하고 역할 할당 정책을 사용하여 사용자에게 사용 권한을 할당하는 것이 좋습니다.

직접 사용자 할당에 대한 자세한 내용은 관리 역할 할당 이해를 참조하십시오.

맨 위로 이동

요약 및 예

다음 그림에서는 RBAC의 구성 요소 및 이러한 구성 요소가 어떻게 구성되어 있는지 보여 줍니다.

  • 역할 그룹:

    • 하나 이상의 관리자가 역할 그룹의 구성원이 될 수 있습니다. 둘 이상의 역할 그룹의 구성원이 될 수도 있습니다.

    • 역할 그룹은 하나 이상의 역할 할당에 할당합니다. 역할 할당은 수행할 수 있는 작업을 정의하는 하나 이상의 관리 역할과 역할 그룹을 연결합니다.

    • 역할 할당에는 역할 그룹의 사용자가 작업을 수행할 수 있는 위치를 지정하는 관리 범위가 포함될 수 있습니다. 이러한 범위는 역할 그룹의 사용자가 구성을 수정할 수 있는 위치를 지정합니다.

  • 역할 할당 정책:

    • 하나 이상의 사용자를 역할 할당 정책과 연결할 수 있습니다.

    • 역할 할당 정책에는 하나 이상의 역할 할당이 할당됩니다. 이러한 역할 할당은 역할 할당 정책을 하나 이상의 최종 사용자 역할과 연결합니다. 최종 사용자 역할은 사용자가 자신의 사서함에서 구성할 수 있는 항목을 정의합니다.

    • 역할 할당 정책과 역할 간 역할 할당에는 사용자의 사서함 또는 메일 그룹으로 할당 범위를 제한하는 기본 제공 범위가 있습니다.

  • 직접 역할 할당(고급):

    • 사용자 또는 USG와 하나 이상의 역할 간에 직접 역할 할당을 만들 수 있습니다. 역할은 사용자 또는 USG가 수행할 수 있는 작업을 정의합니다.

    • 역할 할당에는 사용자 또는 USG가 작업을 수행할 수 있는 위치를 지정하는 관리 범위가 포함될 수 있습니다. 이 범위는 사용자 또는 USG가 구성을 수정할 수 있는 위치를 지정합니다.

RBAC 개요

RBAC 구성 요소 관계

앞의 그림에 나와 있는 것처럼 RBAC의 많은 구성 요소는 서로 연관되어 있습니다. 각 관리자 또는 사용자에게 적용되는 사용 권한을 정의하는 각 구성 요소는 이처럼 조합되어 있습니다. 다음 예에서는 조직에서 역할 그룹 및 역할 할당 정책이 사용되는 방식에 대한 몇 가지 추가 컨텍스트를 제공합니다.

관리자 Jane

Jane은 Contoso라는 중소기업의 관리자입니다. Jane은 밴쿠버 지사에서 회사의 받는 사람을 관리하는 역할을 맡고 있습니다. Contoso의 사용 권한 모델이 만들어졌을 때 Jane은 받는 사람 관리 - Vancouver 사용자 지정 역할 그룹의 구성원이 되었습니다. 받는 사람 관리 - Vancouver 사용자 지정 역할 그룹은 사서함 및 연락처 등의 받는 사람 생성 및 제거, 메일 그룹 구성원 및 사서함 속성 관리 등 거의 대부분 그녀가 맡은 업무와 일치했습니다.

Jane은 받는 사람 관리 - Vancouver 사용자 지정 역할 그룹 외에 자신의 사서함 구성 설정을 관리하기 위한 역할 할당 정책도 필요했습니다. 조직 관리자는 고위 경영진을 제외한 모든 사용자에게 자신의 사서함을 관리할 수 있는 동일한 사용 권한을 부여하기로 결정했습니다. 이러한 사용자들은 음성 메일을 구성하고, 보존 정책을 설정하고, 주소 정보를 변경할 수 있습니다. Exchange 2010에 기본 제공되는 기본 역할 할당 정책에는 이러한 요구 사항이 반영되어 있습니다.

참고

Jane은 받는 사람 관리 - Vancouver 사용자 지정 역할 그룹의 구성원이므로 Jane에게 자신의 사서함을 관리하는 권한을 부여해야 합니다. 하지만 역할 그룹은 Jane에게 사서함의 모든 기능을 관리하는 데 필요한 모든 권한을 제공하지 않았습니다. Jane의 역할 그룹에는 음성 메일 및 보존 정책 설정을 관리하는 데 필요한 권한이 포함되어 있지 않습니다. 이는 Jane에게 할당된 기본 역할 할당 정책에 의해서만 제공됩니다.

이를 허용하려면 Jane에게 밴쿠버 지사의 받는 사람에 대한 관리 권한을 제공하는 역할 그룹을 고려해 보십시오.

  1. 받는 사람 관리 - Vancouver라는 사용자 지정 역할 그룹을 만듭니다. 이 그룹을 만들 때는 다음과 같은 단계가 수행되었습니다.

    1. 이 역할 그룹에는 받는 사람 관리의 기본 제공 역할 그룹에 할당된 것과 동일한 관리 역할이 모두 할당되었습니다. 이러한 역할은 받는 사람 관리 - Vancouver 사용자 지정 역할 그룹에 추가된 사용자에게 받는 사람 관리 역할 그룹에 추가된 사용자와 동일한 권한을 부여합니다. 그러나 다음 단계는 사용자가 이러한 권한을 사용할 수 있는 위치를 제한합니다.

    2. 밴쿠버에 거주하는 받는 사람과 일치하는 Vancouver Recipients 사용자 지정 관리 범위를 만듭니다. 이를 위해 사용자의 구/군/시 또는 다른 고유 정보를 필터링하는 범위를 만듭니다.

    3. Vancouver Recipients 사용자 지정 관리 범위를 사용하여 역할 그룹을 만듭니다. 즉, 받는 사람 관리 - Vancouver 사용자 지정 역할 그룹에 추가된 관리자에게는 전체 받는 사람 관리 권한이 부여되지만 밴쿠버에 거주하는 받는 사람에 대해서만 이러한 권한을 사용할 수 있습니다.

  2. 그런 다음 Jane을 받는 사람 관리 - Vancouver 사용자 지정 역할 그룹의 구성원으로 추가합니다.

    사용자 지정 역할 그룹을 만드는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.

    Jane에게 자신의 사서함 설정을 관리할 수 있는 권한을 부여하기 위해 역할 할당 정책에 필요한 권한을 구성해야 합니다.

  3. 기본 역할 할당 정책은 사용자에게 자신의 사서함을 구성하는 데 필요한 권한을 제공하기 위해 사용됩니다. 이러한 권한을 제공하기 위한 단계는 다음과 같습니다.

    • MyBaseOptions, MyContactInformation, MyVoicemailMyRetentionPolicies를 제외한 모든 최종 사용자 역할을 기본 역할 할당 정책에서 제거합니다. MyBaseOptions 관리 역할은 받은 편지함 규칙, 일정 구성 및 기타 작업과 같은 Microsoft OfficeOutlook Web App의 기본 사용자 기능을 제공하므로 포함됩니다.

Jane에게 이미 기본 역할 할당 정책이 할당되어 있으므로 더 이상 수행할 작업이 없습니다. 즉, 해당 역할 할당 정책에 대한 변경 사항이 Jane의 사서함에 즉시 적용되며 다른 모든 사서함도 기본 역할 할당 정책에 할당됩니다.

기본 역할 할당 정책을 사용자 지정하는 방법에 대한 자세한 내용은 기본 할당 정책 변경을 참조하십시오.

전문가 Joe

Joe는 Jane과 같은 회사에 근무합니다. 그는 법적 개시 수행, 보존 정책 설정 및 전송 규칙 및 전체 조직의 저널링 구성을 담당하고 있습니다. Jane과 마찬가지로 Contoso를 위한 사용 권한 모델이 만들어졌을 때 Joe는 자신의 업무와 일치하는 역할 그룹에 추가되었습니다. 레코드 관리 역할 그룹은 Joe에게 보존 정책, 저널링 및 전송 규칙을 구성하는 권한을 제공합니다. 검색 관리 역할 그룹은 그에게 사서함 검색을 수행할 수 있는 권한을 부여합니다.

Jane과 마찬가지로 Joe도 자신의 사서함을 관리할 수 있는 권한이 필요했습니다. 그에게도 Jane과 동일한 권한이 부여되었습니다. 그는 자신의 음성 메일과 보존 정책을 설정하고, 주소 정보를 변경할 수 있습니다.

Joe에게 업무를 수행할 권한을 제공하기 위해 Joe가 레코드 관리 및 검색 관리 역할 그룹에 추가되었습니다. 이 역할 그룹은 Joe에게 필요한 권한을 이미 제공하고 있으므로 어떤 식으로든 변경해서는 안 되며 이 역할 그룹에 적용되는 관리 범위에는 전체 조직이 포함됩니다.

역할 그룹에 사용자를 추가하는 방법에 대한 자세한 내용은 역할 그룹에 구성원 추가를 참조하십시오.

Joe의 사서함에도 Jane의 사서함에 적용된 것과 동일한 기본 역할 할당 정책이 적용됩니다. 이 정책은 Joe에게 관리가 허용된 사서함 기능을 관리하는 데 필요한 모든 권한을 부여합니다.

부사장 Isabel

Isabel은 Contoso의 마케팅 분야 부사장입니다. Contoso의 고위 경영진인 Isabel에게는 일반 사용자보다 더 많은 사용 권한이 부여됩니다. 여기에는 사서함을 관리하는 데 필요한 사용 권한이 포함됩니다. 단, 한 가지 예외가 있습니다. Isabel은 법률 규정 준수를 위해 자신의 보존 정책을 관리하지 못합니다. Isabel은 음성 메일을 구성하고, 연락처 정보를 변경하고, 프로필 정보를 변경하고, 메일 그룹을 생성 및 관리하고, 다른 사람이 소유한 기존의 메일 그룹에서 자신을 추가하거나 제거할 수 있습니다.

따라서 Isabel에게는 사서함에 대한 다른 권한이 부여됩니다. Contoso의 대부분의 사용자는 기본 역할 할당 정책에 할당됩니다. 그러나 고위 경영진은 Senior Leadership 역할 할당 정책에 할당됩니다. 사용자 지정 역할 할당 정책을 만들기 위한 단계는 다음과 같습니다.

  1. Senior Leadership이라는 사용자 지정 역할 할당 정책을 만듭니다. 이 역할 할당 정책에는 MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, 및 MyDistributionGroups 역할이 할당됩니다. MyBaseOptions는 받은 편지함 규칙, 일정 구성 및 다른 작업과 같은 Outlook Web App의 기본 사용자 기능을 제공하므로 포함됩니다.

  2. 그런 다음 Isabel을 Senior Leadership 역할 할당 정책에 수동으로 할당합니다.

Isabel의 사서함은 이제 Senior Leadership 역할 할당 정책이 부여한 권한을 가집니다. 해당 역할 할당 정책에 대한 변경 사항이 Jane의 사서함에 자동으로 적용되며 다른 모든 사서함도 동일한 역할 할당 정책에 할당됩니다.

맨 위로 이동

자세한 내용

할당 정책 추가

사서함의 할당 정책 변경

할당 정책에 역할 추가

 © 2010 Microsoft Corporation. 모든 권리 보유.