보안 그룹 선택(SharePoint Server 2010)

적용 대상: SharePoint Foundation 2010, SharePoint Server 2010

마지막으로 수정된 항목: 2016-11-30

이 문서에서는 AD DS(Active Directory® 도메인 서비스)를 구성하는 보안 그룹 및 메일 그룹에 대해 설명합니다. 이러한 그룹을 사용하여 SharePoint 사이트의 사용자를 구성할 때의 권장 사항도 제공합니다.

이 문서의 내용

• 보안 그룹 추가 여부 결정

• 사이트 액세스 권한 부여 시 사용할 보안 그룹 결정

• 인증된 모든 사용자에게 액세스를 허용할지 여부 결정

• 익명 사용자에게 액세스를 허용할지 여부 결정

소개

개별 사용자가 아니라 그룹에 사용 권한 수준을 할당하면 SharePoint 사이트의 사용자를 보다 쉽게 관리할 수 있습니다. SharePoint 그룹은 개별 사용자가 포함된 집합이며, Active Directory 그룹도 포함할 수 있습니다. AD DS(Active Directory 도메인 서비스)에서는 일반적으로 다음과 같은 그룹을 사용하여 사용자를 구성합니다.

• 메일 그룹   전자 메일을 보낼 때만 사용되며 보안이 설정되지 않은 그룹입니다. 메일 그룹은 리소스 및 개체에 대한 사용 권한을 정의하는 데 사용되는 DACL(임의 액세스 제어 목록)에 나열할 수 없습니다.

• 보안 그룹   DACL에 나열할 수 있는 그룹입니다. 보안 그룹은 전자 메일 엔터티로 사용할 수도 있습니다.

보안 그룹을 SharePoint 그룹에 추가하고 SharePoint 그룹에 대한 권한을 부여하면 보안 그룹을 사용하여 사이트에 대한 권한을 제어할 수 있습니다. 메일 그룹을 SharePoint 그룹에 추가할 수는 없지만 메일 그룹을 확장하고 SharePoint 그룹에 개별 구성원을 추가할 수는 있습니다. 이 방법을 사용하는 경우 SharePoint 그룹과 메일 그룹의 동기화 상태를 수동으로 유지해야 합니다. 보안 그룹을 사용하는 경우에는 SharePoint 응용 프로그램의 개별 사용자를 관리할 필요가 없습니다. 그룹의 개별 구성원 대신 보안 그룹을 포함했으므로 AD DS에서 사용자를 대신 관리합니다.

보안 그룹 추가 여부 결정

SharePoint 그룹에 보안 그룹을 추가하면 그룹과 보안을 중앙에서 관리할 수 있습니다. 보안 그룹에서만 개별 사용자를 관리할 수 있습니다. SharePoint 그룹에 보안 그룹을 추가한 후에는 해당 SharePoint 그룹에서 보안 그룹 구성원을 관리할 필요가 없습니다. 보안 그룹에서 제거된 사용자는 SharePoint 그룹에서도 자동으로 제거됩니다.

그러나 SharePoint 사이트에서 보안 그룹을 사용한다고 해서 수행되는 작업을 모두 확인할 수는 없습니다. 예를 들어 특정 사이트에 대해 보안 그룹을 SharePoint 그룹에 추가하는 경우 사용자의 내 사이트에는 해당 사이트가 표시되지 않습니다. 개별 사용자는 사이트에 참가하지 않으면 사용자 정보 목록에 표시되지 않습니다. 또한, 보안 그룹의 중첩 구조가 깊은 경우에는 SharePoint 사이트가 손상될 수 있습니다.

위와 같은 장단점을 고려할 때 다음과 같이 하는 것이 좋습니다.

• 사용자들이 광범위하게 액세스하는 인트라넷 사이트의 경우에는 인트라넷 사이트 홈 페이지에 액세스하는 개별 사용자를 확인하지 않아도 되므로 보안 그룹을 사용합니다.

• 소수의 사용자가 액세스하는 공동 작업 사이트의 경우에는 SharePoint 그룹에 사용자를 직접 추가합니다. 이 경우에는 그룹 구성원이 서로의 전자 메일 주소와 서로에게 연락하는 방법을 알 수 있도록 그룹 구성원을 확인해야 합니다.

사이트 액세스 권한 부여 시 사용할 보안 그룹 결정

각 조직에서는 서로 다른 방법으로 보안 그룹을 설정합니다. 사용 권한을 더욱 쉽게 관리하려면 보안 그룹이 다음과 같아야 합니다.

• SharePoint 사이트에 지속적으로 보안 그룹을 더 추가할 필요가 없을 정도로 크고 안정적이어야 합니다.

• 적절한 사용 권한을 할당할 수 있을 만큼 작아야 합니다.

예를 들어 "빌딩 2의 모든 사용자"라는 보안 그룹은 빌딩 2의 모든 사용자가 외상 매출금 관리와 같은 동일한 작업을 실행하지 않는 한 적절한 사용 권한을 할당하기에 너무 클 가능성이 높습니다. 따라서 "외상 매출금 관리"와 같이 더 작고 더 구체적인 사용자 집합을 사용해야 합니다.

인증된 모든 사용자에게 액세스를 허용할지 여부 결정

도메인 내의 모든 사용자가 사이트의 콘텐츠를 볼 수 있게 하려는 경우 "인증된 모든 사용자"(Domain Users Windows 보안 그룹)에게 액세스 권한을 부여할 수 있습니다. 이 특수 그룹을 사용하면 익명 액세스를 설정하지 않아도 도메인의 모든 구성원이 선택한 권한 수준으로 웹 사이트에 액세스할 수 있습니다.

익명 사용자에게 액세스를 허용할지 여부 결정

사용자가 페이지를 익명으로 볼 수 있도록 익명 액세스를 설정할 수 있습니다. 대부분의 인터넷 웹 사이트에서는 사이트를 익명으로 볼 수 있도록 허용하지만 사이트를 편집하거나 쇼핑 사이트에서 상품을 구매할 때는 인증을 요청할 수 있습니다. 익명 액세스 권한은 기본적으로 사용하지 않도록 설정되며, 웹 응용 프로그램을 만들 때 웹 응용 프로그램 수준에서 부여해야 합니다.

웹 응용 프로그램에 대한 익명 액세스를 허용하는 경우 사이트 관리자는 사이트 또는 해당 사이트의 콘텐츠에 대한 익명 액세스 권한을 부여할지 여부를 결정해야 합니다.

익명 액세스에는 웹 서버의 익명 사용자 계정이 사용됩니다. 이 계정은 SharePoint 사이트가 아니라 Microsoft IIS(인터넷 정보 서비스)에서 만들고 유지 관리합니다. 기본적으로 IIS에서 익명 사용자 계정은 IUSR입니다. 익명 액세스를 설정하면 실제로 이 계정에 SharePoint 사이트에 대한 액세스 권한이 부여됩니다. 사이트 또는 목록 및 라이브러리에 대한 액세스를 허용하면 익명 사용자 계정에 항목 보기 권한이 부여됩니다. 그러나 항목 보기 권한의 경우에도 익명 사용자가 수행할 수 있는 작업은 제한됩니다. 익명 사용자는 다음을 수행할 수 없습니다.

• Microsoft Office SharePoint Designer에서 편집하기 위해 사이트를 열 수 없습니다.

• 네트워크 환경에서 사이트를 볼 수 없습니다.

• Wiki 라이브러리를 포함한 문서 라이브러리에서 문서 업로드 또는 편집

  중요

  사이트, 목록 또는 라이브러리에 대한 보안을 강화하려면 익명 액세스를 설정하지 마십시오. 익명 액세스를 설정하면 사용자가 목록, 토론 및 조사를 추가하여 서버 디스크 공간과 기타 리소스를 모두 소모할 수 있습니다. 또한 익명 사용자가 목록, 라이브러리 및 토론에 게시된 사용자 전자 메일 주소 등의 모든 콘텐츠를 비롯한 사이트 정보를 검색할 수 있게 됩니다.

사용 권한 정책을 사용하면 웹 응용 프로그램에서 일부 사용자 또는 그룹에만 적용되는 일련의 사용 권한을 중앙 집중식으로 구성 및 관리할 수 있습니다. 웹 응용 프로그램에 대한 익명 액세스를 사용하거나 사용하지 않도록 설정하여 익명 사용자에 대한 사용 권한 정책을 관리할 수 있습니다. 웹 응용 프로그램에 대해 익명 액세스를 사용하도록 설정하는 경우 사이트 관리자는 사이트 모음, 사이트 또는 항목 수준에서 익명 액세스 권한을 부여하거나 거부할 수 있습니다. 웹 응용 프로그램에 대해 익명 액세스를 사용하지 않도록 설정하는 경우에는 익명 사용자가 해당 웹 응용 프로그램 내의 사이트에 액세스할 수 없습니다.

• 없음   정책이 없습니다. 이는 기본 옵션입니다. 사이트 익명 사용자의 사용 권한을 추가로 제한하거나 더하지 않습니다.

• 쓰기 거부   익명 사용자가 콘텐츠를 쓸 수 없습니다. 사이트 관리자가 익명 사용자 계정에 해당 권한을 명시적으로 부여하는 경우에도 마찬가지입니다.

• 모두 거부   익명 사용자에게 어떠한 액세스 권한도 없습니다. 사이트 관리자가 익명 사용자 계정에 사이트에 대한 액세스 권한을 명시적으로 부여하는 경우에도 마찬가지입니다.

사용 권한 정책에 대한 자세한 내용은 웹 응용 프로그램 권한 정책 관리(SharePoint Server 2010)를 참조하십시오.