내보내기(0) 인쇄
모두 확장

UAC 그룹 정책 설정 정의

업데이트 날짜: 2010년 6월

적용 대상: Windows 7, Windows Server 2008 R2

UAC(사용자 계정 컨트롤)를 사용하도록 구성할 수 있는 10가지 그룹 정책 설정이 있습니다. 다음 표에는 각 정책 설정의 기본값이 나와 있으며, 이후의 섹션에서는 각 UAC 그룹 정책 설정에 대해 설명하고 권장 사항을 제공합니다.

 

그룹 정책 설정 기본값

사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리자 승인 모드

사용 안 함

사용자 계정 컨트롤: UIAccess 응용 프로그램이 보안된 데스크톱을 사용하지 않고 권한 상승 메시지를 표시하도록 허용

사용 안 함

사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인 방법

비 Windows 바이너리에 대한 동의 확인

사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 확인 방법

보안된 데스크톱에서 자격 증명 확인

사용자 계정 컨트롤: 응용 프로그램 설치할 때 권한 상승 확인

사용(가정에서 사용하는 경우의 기본값)

사용 안 함(기업에서 사용하는 경우의 기본값)

사용자 계정 컨트롤: 유효성 검사를 통과한 서명된 실행 파일만 권한 상승

사용 안 함

사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 응용 프로그램만 권한 상승

사용

사용자 계정 컨트롤: 관리 승인 모드에서 모든 관리자 실행

사용

사용자 계정 컨트롤: 권한 상승 요청 시 보안 데스크톱으로 전환

사용

사용자 계정 컨트롤: 사용자별 위치로 파일 및 레지스트리 쓰기 오류를 가상화

사용

각 UAC 그룹 정책 설정에 대한 자세한 내용은 Windows 7의 사용자 계정 컨트롤 기술 참조(http://go.microsoft.com/fwlink/?LinkID=146195)에서 "UAC 그룹 정책 설정"을 참조하십시오.

UAC 그룹 정책 설정을 통해 IT 부서에서 UAC를 구성하는 방법을 선택할 수 있도록 하는 경우 새로운 보안 정책을 만들 때 몇 가지 사항을 고려해야 합니다.

권한 상승 프롬프트

Windows 7에는 권한 상승 프롬프트가 위조되지 않도록 하는 데 사용할 수 있는 보안 정책 설정이 포함되어 있습니다. 이 정책 설정(사용자 계정 컨트롤: 권한 상승 요청 시 보안 데스크톱으로 전환)은 프로세스에서 권한 상승을 요청할 때 활성 사용자 데스크톱을 보안 데스크톱으로 전환합니다. 보안 데스크톱은 핵심 Windows 프로세스에서만 액세스할 수 있으며 악성 소프트웨어(맬웨어)는 보안 데스크톱과 통신할 수 없습니다. 이에 따라 사용자 데스크톱의 응용 프로그램에서 보안 데스크톱의 모든 권한 상승 프롬프트를 제어할 수 없습니다. 이 정책 설정은 Windows 7에서 기본적으로 사용하지 않도록 설정되어 있습니다.

UAC 규격이 아닌 응용 프로그램

사용자 계정 컨트롤: 관리 승인 모드에서 모든 관리자 실행 정책 설정을 사용하지 않도록 설정하면 UAC가 해제됩니다. UAC가 해제되면 파일과 폴더가 UAC 규격이 아닌 응용 프로그램에 대해 사용자별 위치로 더 이상 가상화되지 않으며 모든 로컬 관리자가 모든 관리자 권한 액세스 토큰을 사용하여 자동으로 로그온됩니다. 이 설정을 사용하지 않도록 설정하면 Windows 7이 Windows XP 사용자 모델로 되돌아갑니다. UAC와 호환되지 않는 일부 응용 프로그램에서 UAC 해제를 권장할 수 있지만 Windows 7에는 기본적으로 UAC 규격이 아닌 응용 프로그램에 대한 폴더 및 레지스트리 가상화가 포함되어 있기 때문에 UAC를 해제할 필요가 없습니다. UAC를 해제하면 컴퓨터 시스템 전반에 맬웨어가 설치될 위험이 있습니다. 이 설정이 변경되는 경우 변경 내용을 적용하려면 시스템을 다시 시작해야 합니다.

사용하지 않는 UAC 그룹 정책 설정

UAC와 호환되지 않는 응용 프로그램이 Windows 7에서 제대로 작동할 수 있도록 가상화가 사용됩니다. UAC와 호환되는 응용 프로그램만 환경에서 사용되는 경우 사용자 계정 컨트롤: 사용자별 위치로 파일 및 레지스트리 쓰기 오류를 가상화 그룹 정책 설정이 불필요하며 사용하지 않도록 설정될 수 있습니다.

설치 관리자가 일반적으로 Program Files 폴더와 같은 보호되는 영역에 쓰기 때문에 Win32 모델에서는 대개 설치 관리자가 관리 컨텍스트에서 실행되어야 합니다. 사용자 계정 컨트롤: 응용 프로그램 설치할 때 권한 상승 확인 정책 설정은 설치 관리자가 감지될 때 권한 상승 프롬프트를 호출합니다. 사용 가능한 모든 응용 프로그램이 구성 관리자나 다른 기술을 사용하여 배포되는 경우 설치 관리자에 대한 권한 상승이 SYSTEM 권한으로 실행되는 설치 관리자 서비스에 의해 자동으로 수행되기 때문에 별도로 수행될 필요가 없습니다. 이러한 환경에서는 이 정책 설정을 사용하지 않도록 설정할 수 있습니다.

응용 프로그램 런타임 동작

응용 프로그램이 시작될 수 있는지 여부는 응용 프로그램 호환성 데이터베이스(shim)의 요청된 실행 수준과 응용 프로그램을 시작하는 사용자 계정이 사용할 수 있는 사용자 권한의 조합에 따라 결정됩니다. 다음 표에서는 적용된 shim과 사용자 권한의 조합에 따라 응용 프로그램의 런타임 동작을 나타냅니다.

관리 승인 모드의 관리자

다음 표에서는 여러 가지 shim이 설치된 경우 사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인 방법 정책 설정에 따른 관리자에 대한 응용 프로그램의 런타임 동작에 대해 설명합니다.

 

부모 프로세스 액세스 토큰 정책 설정 응용 프로그램 호환성 데이터베이스에서 적용된 shim

없음 또는 RunAsInvoker

RunAsHighest

RunAsAdmin

보호된 관리자

권한 상승 전에 확인 안 함

응용 프로그램이 확인 없이 표준 사용자 권한으로 시작됨

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 확인 없이 시작됨

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 확인 없이 시작됨

보호된 관리자

보안된 데스크톱에서 동의 확인

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 보안된 데스크톱에서 동의를 확인함

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 보안된 데스크톱에서 동의를 확인함

보호된 관리자

보안된 데스크톱에서 자격 증명 확인

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 보안된 데스크톱에서 자격 증명을 확인함

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 보안된 데스크톱에서 자격 증명을 확인함

보호된 관리자

자격 증명 확인

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 사용자의 대화형 데스크톱에서 자격 증명을 확인함

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 사용자의 대화형 데스크톱에서 자격 증명을 확인함

보호된 관리자

동의 확인

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 사용자의 대화형 데스크톱에서 동의를 확인함

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 사용자의 대화형 데스크톱에서 동의를 확인함

보호된 관리자

비 Windows 바이너리에 대한 동의 확인

비 Windows 응용 프로그램이 표준 사용자 권한으로 시작됨

비 Windows 응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 사용자의 대화형 데스크톱에서 동의를 확인함

비 Windows 응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 시작되고 사용자의 대화형 데스크톱에서 동의를 확인함

관리자(UAC가 사용하지 않도록 설정됨)

해당 없음

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 확인 없이 시작됨

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 확인 없이 시작됨

응용 프로그램이 모든 관리자 권한 액세스 토큰을 사용하여 확인 없이 시작됨

표준 사용자 계정

다음 표에서는 여러 가지 shim이 설치된 경우 사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 확인 방법 정책 설정에 따른 표준 사용자에 대한 응용 프로그램의 런타임 동작에 대해 설명합니다.

 

부모 프로세스 액세스 토큰 동의 정책 응용 프로그램 호환성 데이터베이스에서 적용된 shim

RunAsInvoker

RunAsHighest

RunAsAdmin

표준 사용자

권한 상승 요청 자동으로 거부

응용 프로그램이 표준 사용자 권한으로 시작됨

응용 프로그램이 표준 사용자 권한으로 시작됨

응용 프로그램이 시작되지 않음

표준 사용자

자격 증명 확인

응용 프로그램이 표준 사용자 권한으로 시작됨

응용 프로그램이 표준 사용자 권한으로 시작됨

사용자의 대화형 데스크톱에서 관리자 자격 증명을 확인함

표준 사용자

보안된 데스크톱에서 자격 증명 확인

응용 프로그램이 표준 사용자 권한으로 시작됨

응용 프로그램이 표준 사용자 권한으로 시작됨

보안된 데스크톱에서 관리자 자격 증명을 확인함

표준 사용자(UAC가 사용하지 않도록 설정됨)

해당 없음

응용 프로그램이 표준 사용자 권한으로 시작됨

응용 프로그램이 표준 사용자 권한으로 시작됨

응용 프로그램이 시작되지 않음

추가 권한(예: 백업 운영자)이 있는 표준 사용자

다음 표에서는 여러 가지 shim이 설치된 경우 사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 확인 방법 정책 설정에 따른 추가 권한이 있는 표준 사용자에 대한 응용 프로그램의 런타임 동작에 대해 설명합니다.

 

부모 프로세스 액세스 토큰 동의 정책 응용 프로그램 호환성 데이터베이스에서 적용된 shim

RunAsInvoker

RunAsHighest

RunAsAdmin

표준 사용자

프롬프트 없음

응용 프로그램이 표준 사용자 권한으로 시작됨

응용 프로그램이 시작되지 않음

응용 프로그램이 시작되지 않음

표준 사용자

자격 증명 확인

응용 프로그램이 표준 사용자 권한으로 시작됨

자격 증명을 확인한 다음 추가 권한이 있는 표준 사용자 권한으로 실행됨

사용자의 대화형 데스크톱에서 관리자 자격 증명을 확인함

표준 사용자

보안된 데스크톱에서 자격 증명 확인

응용 프로그램이 표준 사용자 권한으로 시작됨

자격 증명을 확인한 다음 추가 권한이 있는 표준 사용자 권한으로 실행됨

보안된 데스크톱에서 관리자 자격 증명을 확인함

표준 사용자(UAC가 사용하지 않도록 설정됨)

해당 없음

응용 프로그램이 표준 사용자 권한으로 시작됨

자격 증명을 확인한 다음 추가 권한이 있는 표준 사용자 권한으로 실행됨

응용 프로그램이 시작되지 않음

설정 기록

다음 표를 사용하여 조직에 대한 설정을 기록할 수 있습니다.

 

UAC 그룹 정책 설정 기본값 조직에 대한 설정

사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리자 승인 모드

사용 안 함

사용자 계정 컨트롤: UIAccess 응용 프로그램이 보안된 데스크톱을 사용하지 않고 권한 상승 메시지를 표시하도록 허용

사용 안 함

사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인 방법

비 Windows 바이너리에 대한 동의 확인

사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 확인 방법

보안된 데스크톱에서 자격 증명 확인

사용자 계정 컨트롤: 응용 프로그램 설치할 때 권한 상승 확인

사용(가정에서 사용하는 경우의 기본값)

사용 안 함(기업에서 사용하는 경우의 기본값)

사용자 계정 컨트롤: 유효성 검사를 통과한 서명된 실행 파일만 권한 상승

사용 안 함

사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 응용 프로그램만 권한 상승

사용

사용자 계정 컨트롤: 관리 승인 모드에서 모든 관리자 실행

사용

사용자 계정 컨트롤: 권한 상승 요청 시 보안 데스크톱으로 전환

사용

사용자 계정 컨트롤: 사용자별 위치로 파일 및 레지스트리 쓰기 오류를 가상화

사용

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft