Windows Vista

사용자 계정 컨트롤을 사용하여 관리자가 아닌 사용자로 실행

Alex Heaton

한 눈에 보기:

• 관리자로 실행하지 않아야 하는 이유
• 표준 사용자로 실행하려는 경우의 문제 해결
• 사용자 계정 컨트롤의 작동 방식

대부분의 IT 조직에서 추구하는 중요한 목표는 관리자 권한으로 실행되는 사용자 수를 줄이는 것입니다. 그러나 일반적으로 IT 관리자는 사용자를 표준 사용자 계정으로 제한하는 데 동의하지만 약 80%의 IT 관리자는 관리자 계정을 사용하여 데스크톱을 배포하기 때문에

이러한 시스템은 맬웨어에 더 취약하고 관리하기 어렵습니다. 그렇지만 관리자 계정을 사용하지 않는 것이 그렇게 쉽지만은 않습니다. 관리자 계정을 사용하지 않을 경우 여러 문제에 직면할 수 있기 때문입니다.

첫째, 응용 프로그램 호환성 문제가 있습니다. 대부분의 응용 프로그램은 관리자 계정을 사용하여 작성되고 테스트되므로 표준 계정으로 실행되지 않을 수도 있습니다. 응용 프로그램은 Program Files 디렉터리나 HKLM 레지스트리 키와 같은 제한된 영역에 쓰려고 하므로 이러한 경우는 아주 흔히 발생할 수 있습니다.

둘째, 이전 Windows® 버전에서는 사용자가 구성할 수 있는 설정이 지나치게 제한되어 있었습니다. 표준 사용자는 헬프 데스크에 요청하지 않고는 표준 시간대와 전원 관리 설정을 변경하거나 보안 무선 네트워크에 연결하거나 ActiveX® 컨트롤을 설치할 수 없었으며 이로 인해 비용이 발생했습니다.

다행히 Windows Vista™에서는 이러한 문제를 해결합니다. 또한 관리자 계정이 없는 사용자라도 Windows Vista의 UAC(사용자 계정 컨트롤) 및 기타 관리 기술을 통해 보다 쉽게 데스크톱을 지원 및 관리하고, 표준 사용자의 생산성을 향상할 수 있습니다. 더구나 사용자 지정된 더 많은 액세스를 사용자에게 제공하는 일반적인 방법인 ACL(액세스 제어 목록)을 수정할 때 발생하는 보안 침해 문제 없이 이러한 모든 작업을 수행할 수 있습니다. 이제 Windows Vista에서 일부 액세스 제어 문제를 어떻게 해결하는지 자세히 살펴보겠습니다.

가상화를 통한 호환성 향상

Windows XP에서 표준 사용자로 실행되지 않는 대부분의 응용 프로그램은 파일 및 레지스트리 가상화 기능을 사용하여 Windows Vista에서 수정하지 않고도 실행될 수 있습니다. Windows XP에서 대부분의 응용 프로그램은 표준 사용자가 액세스할 수 없는 파일 시스템과 레지스트리의 보호된 영역에 쓰려고 하는 경우 손상됩니다. Windows Vista에서는 쓰기와 후속 파일 또는 레지스트리 읽기를 해당 사용자 프로필 내의 특정 위치로 리디렉션하여 호환성을 향상시킵니다. 예를 들어 응용 프로그램이 C:\program files\contoso\settings.ini에 쓰려고 하는데 사용자가 이 디렉터리에 대한 쓰기 권한을 가지고 있지 않은 경우 쓰기가 C:\Users\username\AppData\Local\VirtualStore\Program Files\contoso\settings.ini로 리디렉션됩니다. 응용 프로그램이 HKLM\Software\Contoso\에 쓰려고 하면 자동으로 HKCU\Software\Classes\VirtualStore\MACHINE\Software\Contoso로 리디렉션됩니다. 그림 1에서는 리디렉션 프로세스를 간략하게 보여 줍니다. 또한 Certified for Windows Vista Software Logo Program에 따라 응용 프로그램은 가상화를 요구하지 않고 표준 사용자로 실행되어야 합니다. 그렇지 않을 경우 로고가 응용 프로그램에 부여되지 않습니다.

그림 1** 파일 및 레지스트리 가상화 프로세스 **

더 많은 작업을 수행할 수 있는 표준 사용자

Windows Vista에서는 표준 사용자 계정에 추가 권한이 제공되므로 사용자는 헬프 데스크의 지원과 관리자 계정에서 제공하는 전체 사용 권한 집합 없이도 일반적인 작업을 수행할 수 있습니다. 새로운 권한에는 시스템 시계와 달력 확인, 표준 시간대 변경, 무선 네트워크 보안 설정 수정, 전원 관리 설정 변경, Windows Update에서 중요 업데이트 다운로드 및 설치 등을 수행할 수 있는 권한이 포함됩니다.

또한 Windows Vista에서는 디스크 조각 모음이 자동으로 예약되며, 관리자 권한이 필요한 작업은 방패 아이콘으로 표시되므로 사용자는 자신이 변경할 수 있는 구성과 그렇지 않은 구성을 확인할 수 있습니다.

ActiveX 컨트롤 설치

ActiveX 컨트롤은 자주 업데이트해야 하고 SMS(Systems Management Server)와 같은 소프트웨어 배포 프로그램 또는 그룹 정책을 통해 배포되기 전에 다시 패키지로 만들어야 하기 때문에 특별히 중앙에서 관리하기가 어려울 수 있습니다. Windows Vista에는 IT 관리자가 그룹 정책을 통해 표준 사용자가 ActiveX 컨트롤을 설치할 수 있는 웹 사이트를 지정하도록 하는 ActiveX Installer 서비스라는 선택적 구성 요소가 포함되어 있습니다. ActiveX Installer 서비스를 사용하려면 다음을 수행하십시오.

1. 클라이언트 컴퓨터에서 ActiveX Installer 서비스를 사용하도록 설정합니다. 이 서비스는 Windows Features Control Panel(Windows 기능 제어판) 애플릿을 통해 또는 데스크톱 이미지를 구성할 때 설정할 수 있습니다.
2. Active Directory 그룹 정책의 Computer Configuration(컴퓨터 구성) | Administrative Templates(관리 템플릿) | Windows Components(Windows 구성 요소)에서 ActiveX Installer Service(ActiveX Installer 서비스)를 선택한 다음 Enable(사용)을 선택합니다. 이제 정책이 사용자에게 복제되면 사용자는 지정된 사이트에서 컨트롤을 설치할 수 있습니다.

ActiveX 컨트롤과 기타 실행 코드는 악의적인 작업을 수행할 수 있으므로 이 기능을 사용할 때는 주의해야 합니다. 즉, 신뢰할 수 있는 공급업체 및 엄격한 제어가 적용되는 인트라넷 사이트에만 이 기능을 사용하십시오.

ActiveX Control Installer 서비스도 Windows Vista 이벤트 인프라와 통합되므로 사용자가 설치해야 할 ActiveX 컨트롤이 있을 경우 자동으로 알림이 표시됩니다. 표준 사용자가 승인되지 않은 컨트롤을 설치하려고 하면 서비스가 응용 프로그램 로그에 이벤트를 만듭니다. Windows Vista에서는 이벤트가 트리거되는 즉시 자동으로 전자 메일을 보내거나 다른 프로그램을 실행하도록 작업을 구성할 수 있습니다. 그러면 사용자에게 컨트롤이 필요한 시기를 알 수 있으므로 사용자가 긴 시간 동안 작동이 중지되는 일 없이 그룹 정책에 사이트를 추가할 수 있습니다. Windows Vista에서는 또한 기업 전체의 여러 시스템에서 발생하는 이벤트를 구독하고 사용자가 설치하려고 하는 모든 컨트롤 목록을 생성할 수도 있습니다.

하드웨어 장치 드라이브 설치

특히 랩톱 사용자와 같이 이동 중인 사용자가 필요한 장치 드라이버를 설치할 수 있으려면 관리자 권한이 필요합니다. Windows Vista의 새로운 드라이브 저장소 인프라는 표준 사용자가 설치할 수 있는 장치를 융통성 있게 제어할 수 있도록 하므로 이러한 문제를 해결합니다. 첫째, 드라이버 저장소를 신뢰할 수 있는 드라이버로 미리 채울 수 있으므로 사용자는 필요할 때 허용되는 장치를 설치할 수 있습니다. 둘째, 그룹 정책을 사용하여 프린터 같은 장치 클래스 또는 허용되는 플래시 드라이브 같은 특정 장치 하드웨어 ID를 설치할 수 있는 권한을 표준 사용자에게 제공할 수 있습니다.

Windows Vista 드라이버 저장소는 각 클라이언트 시스템의 하드 드라이브에 있는 기본 제공되는 타사 드라이버의 신뢰할 수 있는 캐시이므로 사용자는 관리자 권한 없이 이러한 드라이브를 설치할 수 있습니다. 드라이버 저장소에서 드라이버를 준비하려면 해당 드라이버를 오프라인 이미지에 삽입하거나 네트워크를 통해 드라이버를 온라인 클라이언트에 동적으로 업데이트하면 됩니다. 오프라인 이미지의 경우 Package Manager(패키지 관리자)를 사용하여 드라이버 저장소에서 드라이버를 완벽하게 준비할 수 있습니다.

온라인 이미지의 경우 pnputil.exe 또는 DevCon과 같은 명령줄 유틸리티를 소프트웨어 배포 응용 프로그램과 함께 사용하여 드라이브 저장소에서 드라이브를 추가, 업데이트 또는 삭제할 수 있습니다. 드라이버 준비 프로세스를 보다 원활하게 하고 유연하게 수행할 수 있도록 Windows Vista에서는 IT 부서와 타사에서 드라이버 패키지 무결성을 서명할 수 있습니다.

기본적으로 관리자 권한이 있는 사용자만 드라이버 저장소에 새 드라이버를 추가할 수 있습니다. 하지만 특히 모바일 사용자의 경우 이동 중에 프린터 같은 장치를 설치해야 할 수 있습니다. Windows Vista의 새로운 그룹 정책 설정을 사용하면 드라이버 저장소에 드라이버가 아직 준비되지 않은 경우라도 허용된 장치를 설치하는 데 필요한 유연성을 표준 사용자에게 제공할 수 있습니다. 장치 드라이버 준비 권한을 위임하려면 Group Policy(그룹 정책) 인터페이스를 열고 Computer Configuration(컴퓨터 구성) | Administrative Templates(관리 템플릿) | System(시스템) | Driver Installation(드라이버 설치) | Allow non-administrators to install drivers for these devices(관리자가 아닌 사용자가 이러한 장치의 드라이버를 설치하도록 허용)로 이동합니다. 이때 관리자가 아닌 사용자에게 준비 및 설치를 허용할 장치 클래스의 GUID를 알고 있어야 합니다. 장치 클래스는 MSDN®(영문)에서 온라인으로 확인할 수 있습니다. 장치가 시스템에 설치되어 있는 경우는 Device Manager(장치 관리자) | Properties(속성) 창으로 이동한 다음 Details(자세히) 탭을 클릭하고 Device Class GUID(장치 클래스 GUID) 드롭다운을 선택하십시오. 드라이버 서명에 사용된 인증서가 이미 클라이언트 시스템의 신뢰할 수 있는 게시자 저장소에 있는지도 확인해야 합니다. 이 인증서는 그룹 정책을 통해 관리할 수 있습니다.

Windows Vista의 이와 같은 향상된 기능은 이제 표준 사용자에게 장치 설치에 필요한 유연성을 제공하므로 관리자는 보다 많은 사용자를 관리되는 데스크톱 환경으로 이동할 수 있습니다.

데스크톱 잠금 수준

Windows Vista OS의 이러한 기능 향상에도 불구하고 모든 조직에서 모든 Windows Vista 데스크톱을 표준 사용자 권한으로 배포할 수 있는 것은 아닙니다. 일부 조직은 여전히 관리자 권한이 필요한 응용 프로그램을 사용하거나 고유한 소프트웨어를 설치해야 하는 개발자와 같은 사용자가 있을 수 있습니다. 이러한 경우도 별 문제가 되지 않습니다. Windows Vista에서는 사용자 계정 선택과 그룹 정책을 통해 구성 가능한 여러 수준의 데스크톱 제어를 사용할 수 있는데, 이들 모두 Windows XP의 전체 관리자 계정에 비해 보다 뛰어난 관리 효율성과 보안을 제공합니다. UAC 설정과 관련된 대부분의 시스템 설정은 그림 2에 표시된 보안 정책 편집기(secpol.msc)에서 찾을 수 있습니다.

그림 2** 보안 정책 편집기 **(더 크게 보려면 이미지를 클릭하십시오.)

첫 번째 제어 수준은 Admin Approval Mode(관리자 승인 모드)입니다. 이 모드에서는 기본적으로 프로그램이 표준 사용자 권한으로 시작되며 프로그램에서 관리자 권한으로 실행을 시도하면 이를 사용자에게 알리므로 일부 유형의 맬웨어 공격에 대한 위험성이 줄어듭니다. 또한 이 모드에서는 사용자가 관리자 권한이 필요한 프로그램을 실행할 경우 이벤트 로그를 통해 감사를 수행할 수 있습니다. 단, 응용 프로그램이 표준 사용자 권한으로 실행될 수 있지만 이 모드가 실제 표준 사용자 계정과 동일한 보안을 제공하지는 않습니다. 사용자는 여전히 관리자 권한을 갖고 있으므로 정책 설정을 변경하고 승인되지 않은 소프트웨어를 설치하며 루트킷과 같은 강력한 맬웨어 설치를 허용할 수 있습니다.

다음 수준은 첫 번째 수준을 토대로 하지만 그룹 정책을 통해 신뢰할 수 있는 게시자 저장소에 있는 인증서로 서명된 프로그램에 한하여 권한 상승을 허용합니다. 따라서 서명되지 않은 맬웨어가 관리자 권한을 얻지 못하게 할 수 있으며 사용자가 임의적인 소프트웨어를 설치하지 못하도록 할 수 있습니다. 그러나 관리자 계정으로 실행할 경우 전문적이거나 악의적인 사용자나 정교한 맬웨어가 적어도 일시적으로 정책을 사용하지 못하게 하여 무단으로 작업을 수행할 수 있습니다. 그러므로 이러한 처음 두 개의 수준은 실제 표준 사용자 계정을 발급하지 못하는 문제를 해결하는 동안의 임시 수단으로 사용해야 합니다.

다음 보안 수준은 관리자 계정에서 사용자를 제거하고 이들을 표준 사용자로 설정하는 작업을 통해 제공됩니다. UAC에는 Over-the-Shoulder 자격 증명 대화 상자라는 기능이 있는데 관리자 자격 증명이 필요한 프로그램을 표준 사용자가 시작하면 이 기능이 기본적으로 표시됩니다. 표준 사용자는 이러한 프로그램을 실행하지 못하도록 차단되지만 관리자의 사용자 이름과 암호를 알고 있을 경우 이를 입력하여 해당 작업을 진행할 수 있습니다. 이 기능을 사용할 수 있는 일반적인 상황으로는 이동 중인 랩톱 사용자의 경우를 들 수 있습니다. 예를 들어 이동 중에 급히 소프트웨어를 설치해야 할 경우 사용자는 로컬 관리자 계정의 암호를 알려 줄 수 있는 헬프 데스크에 문의하여 암호를 입력하고 프로그램을 실행할 수 있습니다(그림 3 참조). 사용자에게 관리자 암호를 제공한 경우 해당 사용자가 네트워크에 다시 연결할 때 관리자 암호를 재설정하는 프로세스와 도구를 제대로 마련하고 관리자 자격 증명을 사용하여 실행된 적이 있는 프로그램을 기록해 두는 것이 좋습니다. 또한 PC가 맬웨어에 의해 감염된 경우 관리자는 의도와는 다르게 사용 권한을 맬웨어에 제공할 수도 있다는 점을 유의해야 합니다.

그림 3** 관리자 암호 요구 **(더 크게 보려면 이미지를 클릭하십시오.)

그룹 정책을 사용하여 자격 증명 대화 상자가 사용되지 않도록 설정할 수도 있습니다. 즉, User Account Control: Behavior of the elevation prompt for standard users(사용자 계정 컨트롤: 표준 사용자의 상승 프롬프트 동작) 설정을 Automatically deny elevation requests(권한 상승 요청 자동으로 거부)로 설정합니다(그림 4 참조). Microsoft는 이와 같은 방법으로 표준 사용자 데스크톱을 배포하는 대부분의 기업들이 UAC를 구성하도록 권장합니다. 대부분의 조직에서는 이 방식을 사용하여 IT 부서에서 공개하지 않아야 하는 암호를 사용자가 헬프 데스크에 문의하지 못하도록 할 수 있습니다.

그림 4** 그룹 정책에 의해 차단된 응용 프로그램 **(더 크게 보려면 이미지를 클릭하십시오.)

가장 강력한 데스크톱 잠금 수준에서는 Windows SRP(소프트웨어 제한 정책)와 결합된 UAC와 표준 사용자 계정을 사용할 수 있습니다. SRP를 사용하는 기업에서는 추가 단계를 수행하고 특별히 허용하지 않은 어떠한 소프트웨어도 실행되지 않도록 방지할 수 있습니다. SRP는 Authenticode® 인증서, 해시, 경로 또는 인터넷 영역을 기준으로 특정 기준에 부합되지 않을 경우 소프트웨어 실행을 차단하도록 설계되었으며 그룹 정책을 통해 관리됩니다. 따라서 사용자는 간단한 작업으로 승인되지 않은 프로그램의 설치와 실행을 차단하는 매우 강력한 정책을 만들 수 있습니다. 일반적인 정책은 %WINDIR% 및 %PROGRAMFILES% 경로에 있는 실행 파일을 제외한 모든 실행 파일을 허용하지 않으며 정책을 관리자를 제외한 모든 사용자에게 적용합니다.

이 정책이 적용된 경우 IT 직원은 각각의 .exe를 허용 목록(허용된 항목 목록)에 추가할 필요 없이 원하는 소프트웨어 프로그램을 Program Files 디렉터리에 설치할 수 있습니다. 표준 사용자는 이 디렉터리에 액세스할 수 없으므로 실행할 프로그램을 어디에도 설치할 수 없습니다.

지금까지 Power User 그룹에 대해 한 번도 언급하지 않았는데 이는 Power User 그룹은 Windows Vista에서 제거되었기 때문입니다. 몇몇 조직에서는 관리자 권한을 제한하는 데 Power Users 그룹을 사용해 왔습니다. 그러나 특정 사용자를 고급 사용자로 설정할 경우 승인되지 않은 시스템 구성을 작성할 수 없지만 해당 사용자 또는 고급 사용자 자격 증명으로 실행되는 맬웨어가 추가 권한을 얻거나 심지어 완전한 관리 자격 증명을 획득할 수 있습니다. 이러한 이유 때문에 Windows Vista에서는 두 개의 기본 계정 유형으로 관리자와 표준 사용자만 사용합니다.

데스크톱 관리 인프라

지금까지 설명한 파일 및 레지스트리 가상화, 새로운 드라이버 저장소 인프라 및 기타 기능을 사용하면 표준 사용자 계정으로 Windows Vista 데스크톱을 훨씬 쉽게 배포할 수 있습니다. 그러나 이러한 기술을 사용하더라도 일부 작업을 직접 수행할 수 없는 사용자를 지원하는 관리 인프라(도구, 프로세스 및 인력)를 갖추지 않는 한 표준 사용자 환경을 완벽하게 지원할 수는 없습니다. 여기서 고려해야 할 몇 가지 문제는 다음과 같습니다.

소프트웨어 설치 사용자가 직접 소프트웨어를 설치할 수 없는 경우 다른 방법을 제공해야 합니다. 추가 관리 소프트웨어가 필요하지 않은 한 가지 방법은 그룹 정책을 사용하는 것입니다. 그룹 정책을 사용하면 프로그램을 Add/Remove programs(프로그램 추가/제거) 목록에 추가할 수 있습니다. 사용자가 이 방법을 사용하여 프로그램을 설치할 경우 사용자가 설치를 수행하는 데 필요한 상승된 권한으로 프로그램이 실행됩니다. 보다 나은 솔루션으로 SMS 또는 비슷한 제품을 사용할 수도 있습니다. 일부 솔루션에서는 표준 사용자가 설치할 소프트웨어를 선택할 수 있는 셀프 서비스 웹 포털을 만들 수도 있습니다.

소프트웨어 업데이트 "이 업데이트를 설치하십시오!"라는 전자 메일을 보내는 방법 이외에 자신의 PC에 업데이트를 설치할 방법을 알고 있어야 합니다. 대부분의 Microsoft 업데이트를 관리하고 배포하기 위해 Windows Server용 무료 다운로드인 Windows Server Update Services를 사용할 수 있습니다. 보다 다양한 업데이트 배포를 위해 SMS와 같은 데스크톱 관리 제품을 고려할 수 있습니다.

지원 프로세스 및 직원 배치 사용자가 성능 문제를 일으키는 상황에 대해 헬프 데스크에 문의하거나 새로운 제품을 설치하려는 경우 대부분 이러한 사용자에게 권한이 없을 수 있으므로 전화를 통해 문제 해결 방법을 알려줄 수 없을 것입니다. IT 부서에서는 문제를 진단하고 설정을 변경하기 위해 원격 지원 및 원격 관리 도구를 보다 많이 사용해야 합니다. 헬프 데스크 직원이 원격 데스크톱을 사용하여 원격으로 관리 변경을 수행할 수 있다고 하더라도 로그인한 표준 사용자는 관리자 권한이 필요한 작업에 대한 프롬프트를 승인할 수 없기 때문에 Windows 원격 지원은 다르게 작동합니다.

명확하고 효율적인 정책 예외 처리 프로세스를 마련하는 것이 중요합니다. 마케팅 부서의 직원이 새 그래픽 디자인 도구의 시험판 버전을 설치하여 자신의 부서에 적합한지 평가해야 한다고 가정해 봅니다. 소프트웨어 설치를 승인하는 사람은 누구일까요? 관리자, 이사 또는 CIO일까요? 소프트웨어는 어떤 방법으로 설치될 것이며 얼마나 기다려야 할까요? 이 경우 헬프 데스크 문제 추적 시스템과 통합되는 간단한 승인 워크플로를 만드는 것이 좋습니다. 기본 워크플로는 다음과 같을 수 있습니다.

1. 사용자가 프로그램 설치 요청과 설치 프로그램(로컬 하드 드라이브 또는 CD 트레이에 있음)에 대한 링크를 제출하고, 소프트웨어를 불법으로 획득하지 않았으며 악의적인 목적으로 사용하지 않는다는 것을 확인합니다.
2. 승인을 받기 위해 요청이 관리자에게 보내집니다.
3. 요청이 IT 부서의 응용 프로그램 책임자에게 전달되고 이 응용 프로그램 책임자는 알려진 호환성 문제가 없는지 확인하고 바이러스 검사를 수행하며 회사에서 해당 프로그램이나 유사한 프로그램의 사이트 라이선스를 다른 공급업체로부터 이미 구입하지 않았는지 확인합니다.
4. 요청이 기술 지원 담당자에게 전달됩니다. 기술 지원 담당자는 원격으로 설치를 시작하고 소프트웨어를 사용할 준비가 되면 사용자에게 이를 알립니다.

워크플로 인터페이스를 만들기 위해 동적 웹 페이지를 스크립팅하거나 상용 헬프 데스크나 문제 추적 패키지를 얻을 수 있습니다. 또한 관리되는 환경과 관리되지 않는 환경에 대해 다른 직원 배치를 요구할 수도 있습니다. 다행인 것은 불안정하거나 감염된 PC를 물리적으로 진단하거나 다시 이미지를 만드는 데 기술 지원 전문가가 덜 필요하다는 것입니다. 그러나 소프트웨어 패키지와 배포에 처음부터 추가 직원을 할당해야 할 수도 있습니다.

긴 안목으로 봤을 때 시스템은 보다 오랫동안 안정적인 상태로 유지되면 지원 비용은 보다 덜 들겠지만 처음에는 구성 관련 문의를 위해 사용자가 헬프 데스크에 전화하는 횟수가 늘어날 수 있습니다. 그러나 사용자가 필요로 하고 기대하는 설정으로 데스크톱 이미지와 그룹 정책을 구성한 이후에는 헬프 데스크 문의가 줄어들 것입니다.

문화.

마지막 장애물은 기술이 아니라 심리적인 것입니다. 일부 사용자는 관리자 권한이 없다는 것에 거부감을 가질 수 있습니다. 하지만 대부분의 사용자는 차이를 인식할 수 없을 것입니다. 그리고 표준 사용자 계정 적용과 동시에 Windows Vista를 배포할 경우 통합된 데스크톱 검색, 새로운 Aero™(투명 효과) 사용자 인터페이스 및 모바일 사용자를 위한 기능 향상 등을 통해 얻는 생산성 이점이 관리자가 아니라서 느끼는 불편보다 훨씬 클 것입니다. 그러나 잘못된 프로세스로 인해 소프트웨어 설치 권한을 얻는 데 몇 주씩 기다려야 할 경우 만족하지 못하는 직원이 생길 수 있습니다.

기본적으로 PC 자산의 보안을 유지하고 불법 소프트웨어 사용을 방지하며 정부 규정과 내부 정책을 준수하도록 하는 것은 IT 부서의 책임입니다. 대부분의 회사에서는 관리자 권한을 갖는 사용자 수를 제한하는 새로운 정책을 적용하는 것이 이를 위한 유일한 방법임을 알게 될 것입니다. 다행히 Windows Vista에서는 이러한 작업을 훨씬 쉽게 수행할 수 있습니다.

추가 리소스

관리자 권한 축소와 관련하여 도움이 필요한 경우 다음을 참조하십시오.

• 관리자가 아닌 사용자를 위한 Aaron Margosis의 블로그—Running with Least Privilege on the Desktop(영문)
• 사용자 계정 컨트롤 팀 블로그(영문)
• User Account Control Overview(영문)
• Understanding and Configuring User Account Control
• 가상 실습: 사용자 계정 컨트롤(영문)

Alex Heaton은 Windows Vista 보안 팀의 수석 제품 관리자로서, 이전에는 Microsoft 보안 웹 사이트(예: microsoft.com/korea/protect)의 사이트 관리 책임자였습니다. Alex는 또한 사용자 계정 컨트롤 팀 블로그(blogs.msdn.com/uac)에도 글을 올리고 있습니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..