관리 역할 범위 이해
적용 대상: Exchange Server 2010
마지막으로 수정된 항목: 2009-10-14
관리 역할 범위를 이용하면 관리 역할 할당을 만들 때 관리 역할의 영향 범위를 정의할 수 있습니다. 범위를 적용하면 역할이 할당된 역할 담당자는 그 범위에 있는 개체만 수정할 수 있습니다. 역할 담당자는 관리 역할 그룹, 관리 역할, 관리 역할 할당 정책, 사용자 또는 USG(유니버설 보안 그룹)입니다. 관리 역할에 대한 자세한 내용은 역할 기반 액세스 제어 이해를 참조하십시오.
기본 제공 역할이건 사용자 지정 역할이건 모든 관리 역할은 관리 범위가 있습니다. 관리 범위는 다음 중 한 가지일 수 있습니다.
- 일반 일반 범위는 단독이 아닙니다. 이 범위는 Active Directory에서 관리 역할이 할당된 사용자가 보거나 수정할 수 있는 개체를 결정합니다. 일반적으로 관리 역할은 만들거나 수정할 수 있는 것을 나타내고 관리 역할 범위는 만들거나 수정할 수 있는 위치를 나타냅니다. 일반 범위는 명시적 또는 암시적 범위일 수 있습니다. 명시적 및 암시적 범위에 대해서는 이 항목의 뒷부분에서 설명합니다.
- 단독 단독 범위는 일반 범위와 거의 비슷합니다. 주된 차이는 단독 범위에 연결된 역할이 할당되지 않은 사용자에 대해 단독 범위 내의 개체 액세스를 거부할 수 있다는 것입니다. 모든 단독 범위는 명시적 범위입니다. 명시적 범위에 대해서는 이 항목의 뒷부분에서 설명합니다.
단독 범위에 대한 자세한 내용은 배타적 범위 이해를 참조하십시오.
범위는 관리 역할에서 상속하거나, 관리 역할 할당에서 미리 정의된 상대 범위로 지정하거나, 사용자 지정 필터로 만들어 관리 역할 할당에 추가할 수 있습니다. 관리 역할에서 상속한 범위를 암시적 범위라고 하고 미리 정의된 범위 및 사용자 지정 범위를 명시적 범위라고 합니다. 다음 섹션에서는 각 범위 유형에 대해 설명합니다.
- 암시적 범위
- 명시적 범위
- 미리 정의된 상대 범위
- 사용자 지정 범위
각 역할에는 다음과 같은 유형의 범위를 지정할 수 있습니다.
- 받는 사람 읽기 범위 암시적인 받는 사람 읽기 범위는 관리 역할이 할당된 사용자가 Active Directory에서 읽을 수 있는 받는 사람 개체를 결정합니다.
- 받는 사람 쓰기 범위 암시적인 받는 사람 쓰기 범위는 관리 역할이 할당된 사용자가 Active Directory에서 수정할 수 있는 받는 사람 개체를 결정합니다.
- 구성 읽기 범위 암시적인 구성 읽기 범위는 관리 역할이 할당된 사용자가 Active Directory에서 읽을 수 있는 구성 개체를 결정합니다.
- 구성 쓰기 범위 구성 쓰기 범위는 관리 역할이 할당된 사용자가 Active Directory에서 수정할 수 있는 조직 및 서버 개체를 결정합니다.
받는 사람 개체에는 사서함, 메일 그룹, 메일 사용 가능 사용자 및 기타 개체가 포함됩니다. 구성 개체에는 Microsoft Exchange Server 2010을 실행하는 서버가 포함됩니다. 각 유형의 범위는 암시적 범위 또는 명시적 범위가 될 수 있습니다.
암시적 범위
암시적 범위는 관리 역할 유형에 적용되는 기본 범위입니다. 암시적 범위가 관리 역할 유형과 연결되므로 역할 유형이 동일한 모든 부모 및 자식 관리 역할은 같은 암시적 범위가 지정됩니다. 암시적 범위는 기본 제공 역할과 사용자 지정 관리 역할 모두에 적용됩니다. 관리 역할 및 관리 역할 유형에 대한 자세한 내용은 관리 역할 이해를 참조하십시오.
다음 표는 관리 역할에서 정의할 수 있는 모든 암시적 범위를 소개합니다.
관리 역할에 정의되는 암시적 범위
| 암시적 범위 | 설명 |
|---|---|
|
이 범위는 받는 사람 읽기 및 쓰기 범위에만 사용됩니다. |
|
이 범위는 받는 사람 읽기 범위에만 사용됩니다. |
|
이 범위는 받는 사람 읽기 및 쓰기 범위에만 사용됩니다. |
|
이 범위는 받는 사람 읽기 및 쓰기 범위에만 사용됩니다. |
|
이 범위는 구성 읽기 및 쓰기 범위에만 사용됩니다. |
|
|
역할이 역할 담당자에게 할당되었지만 미리 정의된 범위나 사용자 지정 범위가 지정되지 않은 경우에는 역할에 정의된 암시적 범위를 사용하여 사용자가 보거나 수정할 수 있는 받는 사람 또는 조직 개체를 제어합니다.
다음 표는 기본 제공 관리 역할과 해당되는 암시적 범위를 모두 소개합니다.
기본 제공 관리 역할 암시적 범위
| 관리 역할 | 받는 사람 읽기 범위 | 받는 사람 쓰기 범위 | 구성 읽기 범위 | 구성 쓰기 범위 |
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
역할의 암시적 쓰기 범위는 항상 암시적 읽기 범위보다 작거나 같습니다. 즉, 역할은 범위에서 볼 수 있는 개체만 수정할 수 있습니다.
관리 역할에 정의된 암시적 범위는 변경할 수 없습니다. 하지만 관리 역할에서 암시적 쓰기 범위 및 구성 범위를 재정의할 수는 있습니다. 미리 정의된 상대 범위 또는 사용자 지정 범위를 역할 할당에 사용하면 역할의 암시적 쓰기 범위 또는 구성 범위가 재정의되고 새 범위가 우선적으로 적용됩니다. 역할의 암시적 읽기 범위는 재정의할 수 없으며 항상 적용됩니다. 미리 정의된 명시적 범위나 사용자 지정 명시적 범위에 대한 자세한 내용은 이 항목 뒷부분의 관련 섹션을 참조하십시오.
명시적 범위
명시적 범위는 관리되는 역할에서 수정할 수 있는 개체를 제어하기 위해 직접 설정한 범위입니다. 암시적 범위는 관리 역할에 정의되는 한편 명시적 범위는 관리 역할 할당에서 정의됩니다. 그렇기 때문에 재정의하는 명시적 범위를 사용하지 않는 경우에는 모든 관리 역할에서 일관성 있게 암시적 범위를 적용할 수 있습니다. 관리 역할 할당에 대한 자세한 내용은 관리 역할 할당 이해를 참조하십시오.
명시적 범위는 관리 역할의 암시적인 쓰기 및 구성 범위를 재정의합니다. 관리 역할의 암시적인 읽기 범위는 재정의하지 않습니다. 암시적 읽기 범위는 계속해서 관리 역할이 읽을 수 있는 개체를 정의합니다.
명시적 범위는 관리 역할의 암시적 쓰기 범위가 비즈니스 요구에 맞지 않는 경우에 유용합니다. 새로운 범위가 암시적 읽기 범위의 경계를 넘지 않는 한 원하는 것은 무엇이든 명시적 범위에 추가할 수 있습니다. 관리 역할에 속한 cmdlet이 개체를 만들거나 수정하려면 개체나 개체를 포함한 컨테이너에 대한 정보를 읽을 수 있어야 합니다. 예를 들어, 관리 역할의 암시적 읽기 범위가 Self로 설정되어 있을 경우 명시적 쓰기 범위 Organization을 추가하면 쓰기 범위가 암시적 읽기 범위의 경계를 넘기 때문에 추가할 수 없습니다.
다음 섹션에서는 미리 정의된 상대 범위 및 사용자 지정 범위에 대해 설명합니다.
미리 정의된 상대 범위
Exchange 2010은 관리 역할의 범위를 수정할 때 사용할 수 있는 미리 정의된 상대 쓰기 범위 몇 가지를 제공합니다. 미리 정의된 상대 범위를 사용하면 수동으로 사용자 지정 범위를 만들지 않고도 쉽게 비즈니스 요구를 충족할 수 있습니다. 상대 범위라는 이름은 연결된 역할 할당이 할당되는 역할 담당자에 상대적으로 지정되는 것을 의미합니다. 예를 들어 Self 미리 정의된 상대 범위는 쓰기 범위를 현재 사용자만으로 제한합니다. MyDistributionGroups 미리 정의된 상대 범위는 쓰기 범위를 현재 사용자가 소유한 메일 그룹만으로 제한합니다. 미리 정의된 상대 범위는 받는 사람 개체의 범위를 지정하는 데에만 사용할 수 있습니다. 미리 정의된 상대 범위를 사용하여 구성 개체의 범위를 지정할 수는 없습니다. 다음 표는 사용할 수 있는 미리 정의된 상대 범위를 소개합니다.
미리 정의된 상대 범위
| 암시적 범위 | 설명 |
|---|---|
|
이 범위는 받는 사람 읽기 및 쓰기 범위에만 사용됩니다. |
|
이 범위는 받는 사람 읽기 및 쓰기 범위에만 사용됩니다. |
|
이 범위는 받는 사람 읽기 및 쓰기 범위에만 사용됩니다. |
미리 정의된 상대 범위는 새 관리 역할 할당을 만들 때 적용됩니다. New-ManagementRoleAssignment cmdlet을 사용하여 역할 할당을 만드는 동안 RecipientRelativeWriteScope 매개 변수를 사용하여 미리 정의된 상대 범위를 지정할 수 있습니다. 새 역할 할당을 만들면 새 미리 정의된 역할이 관리 역할의 암시적 쓰기 범위를 재정의합니다.
미리 정의된 상대 범위가 할당된 관리 역할을 추가하는 방법에 대한 자세한 내용은 사용자 또는 USG에 역할 추가를 참조하십시오.
사용자 지정 범위
암시적 쓰기 범위나 미리 정의된 상대 범위로 비즈니스 요구를 충족할 수 없는 경우 사용자 지정 범위가 필요합니다. 사용자 지정 범위를 사용하면 관리 역할을 적용할 범위를 세분화된 수준에서 정의할 수 있습니다. 예를 들어 특정 OU(조직 단위), 특정 유형의 받는 사람 또는 둘 모두를 대상으로 할 수 있습니다.
미리 정의된 상대 범위와 마찬가지로 사용자 지정 범위도 관리 역할에 정의된 암시적 쓰기 및 조직 구성 범위를 재정의합니다. 관리 역할의 암시적 읽기 범위는 계속 적용되며 결과적인 사용자 지정 범위는 암시적 읽기 범위의 경계를 넘을 수 없습니다.
가장 간단한 사용자 지정 범위는 New-ManagementRoleAssignment cmdlet에서 RecipientOrganizationalUnitScope 매개 변수를 사용하여 만드는 OU 범위입니다. 역할을 할당할 때 OU 범위를 지정하면 역할이 할당된 사용자는 그 OU 안의 받는 사람 개체만 수정할 수 있습니다.
OU 범위가 할당된 관리 역할을 추가하는 방법에 대한 자세한 내용은 사용자 또는 USG에 역할 추가를 참조하십시오.
New-ManagementScope cmdlet을 사용하면 더 복잡하고 세분화된 사용자 지정 범위를 만들 수 있습니다. New-ManagementScope cmdlet을 사용하면 받는 사람 및 구성 필터링된 범위를 만들 수 있습니다. 받는 사람 필터링된 범위는 필터를 사용하여 받는 사람 유형이나 부서, 관리자, 위치 등의 기타 받는 사람 속성에 따라 특정 받는 사람을 대상으로 지정합니다. 구성 필터링된 범위는 필터를 사용하여 Active Directory 사이트 또는 서버 역할과 같이 서버에 정의할 수 있는 필터링 가능한 속성에 따라 특정 서버를 대상으로 지정합니다.
받는 사람 또는 구성 필터링된 범위를 만들면 해당 필터링된 범위와 일치하는 받는 사람 또는 서버 개체만 반환됩니다. New-ManagementRoleAssignment 또는 Set-ManagementRoleAssignment cmdlet을 사용한 역할 할당에 이러한 범위를 적용할 경우 역할이 할당된 역할 담당자는 필터와 일치하는 개체만 수정할 수 있습니다. 사용자 지정 범위를 만들고 나면 범위 유형을 변경할 수 없습니다. 받는 사람 범위는 항상 받는 사람 범위이고 구성 범위는 항상 구성 범위입니다.
기본적으로 사용자 지정 범위를 사용하면 역할 담당자는 정의한 필터와 일치하는 개체 집합에 액세스할 수 있습니다. 하지만 동일하거나 동등한 범위가 할당되지 않은 다른 역할 담당자에 대한 액세스를 능동적으로 제외하지는 않습니다. 범위에 있는 필터가 동일한 개체와 일치하면 모든 사용자 지정 범위가 동일한 개체에 액세스할 수 있습니다. 임원과 같이 중요한 사람 등, 이러한 동작이 바람직하지 않은 개체도 있을 수 있습니다. 그러한 개체의 경우 단독 범위를 정의할 수 있습니다. 단독 범위는 일반 범위와 같은 방식으로 필터를 사용하지만 일반 범위와 달리 동일하거나 동등한 단독 범위에 속하지 않은 사람에게는 범위에 포함된 개체에 대한 액세스를 거부합니다. 단독 범위에 대한 자세한 내용은 배타적 범위 이해를 참조하십시오.