사용할 그룹 및 권한 수준 결정(SharePoint Server 2010)

  • 아티클

 

적용 대상: SharePoint Foundation 2010, SharePoint Server 2010

마지막으로 수정된 항목: 2016-11-30

이 문서에서는 기본 그룹 및 권한 수준을 설명하고 이를 그대로 사용할 것인지, 사용자 지정할 것인지, 다른 그룹 및 권한 수준을 만들 것인지 결정하는 데 도움이 되는 정보를 제공합니다.

이 문서의 내용

  • 사용 가능한 기본 그룹 검토

  • 사용 가능한 권한 수준 검토

  • 추가 권한 수준 또는 그룹의 필요 여부 결정

Microsoft SharePoint Server 2010의 사이트 및 콘텐츠 보안에서 가장 중요한 결정 사항은 사용자 분류 방법과 할당할 권한 수준입니다.

사용 가능한 기본 그룹 검토

SharePoint 그룹을 사용하면 개별 사용자가 아닌 사용자 집합을 관리할 수 있습니다. SharePoint 그룹은 여러 개별 사용자를 포함하거나 AD DS(Active Directory Domain Services), LDAPv3 기반 디렉터리, 응용 프로그램별 데이터베이스 및 LiveID와 같은 새로운 사용자 중심 ID 모델 등의 회사 로고(CI)의 콘텐츠를 포함할 수 있습니다. SharePoint 그룹 자체가 사이트에 특정 권한을 부여하는 것은 아니며, 사용자 집합을 포함하기 위한 수단일 뿐입니다. 조직이나 웹 사이트의 크기 및 복잡도에 따라 사용자를 여러 개의 그룹으로 구성할 수 있습니다. SharePoint 그룹은 중첩될 수 없습니다.

다음 표에는 SharePoint Server 2010의 팀 사이트용으로 만들어진 기본 그룹이 나열되어 있습니다.

그룹 이름 기본 권한 수준

Viewers

보기 전용

Visitors

읽기

Members

참가

Designers

디자인

Owners

모든 권한

팀 사이트 서식 파일 외에 사이트 서식 파일을 사용하는 경우 기본 SharePoint 그룹 목록이 다르게 표시됩니다. 다음 표에서는 사이트 서식 파일을 게시할 경우 제공되는 추가 그룹의 예가 나타납니다.

그룹 이름 기본 권한 수준

Restricted Readers

사이트에 대한 제한된 읽기 및 특정 목록에 대한 제한된 액세스

Style Resource Readers

마스터 페이지 갤러리에 대한 읽기 및 스타일 라이브러리에 대한 제한된 읽기

Quick Deploy Users

빠른 배포 항목 라이브러리 참가 및 나머지 사이트에 대한 제한된 액세스

Approvers

승인 및 제한된 액세스

Hierarchy Managers

계층 구조 관리 및 제한된 액세스

또한 상위 관리 작업에는 다음과 같은 특수 사용자 및 그룹을 사용할 수 있습니다.

  • 사이트 모음 관리자 한 명 이상의 사용자를 기본 및 보조 사이트 모음 관리자로 지정할 수 있습니다. 이러한 사용자는 해당 사이트 모음의 담당자로 데이터베이스에 기록되고 사이트 모음 내 전체 사이트의 모든 권한을 갖게 됩니다. 또한 모든 사이트 콘텐츠를 감사하고 모든 관리 경고(예: 사이트가 여전히 사용 중인지 여부 확인)를 받을 수 있습니다. 사이트 모음 관리자는 사이트를 만들 때 지정되지만 필요에 따라 사이트 모음의 중앙 관리 사이트 또는 사이트 설정 페이지를 사용하여 변경할 수 있습니다. AD DS 그룹 및 역할은 사이트 모음 관리자로 추가할 수 없습니다.

    참고

    사이트 모음 관리자는 사이트 모음 안의 모든 사이트에 대해 모든 권한을 갖습니다. 사이트를 추가 또는 삭제하거나 사이트 모음 안의 모든 사이트에 대한 설정을 변경할 수 있습니다. 또한 이러한 사이트에 포함된 모든 콘텐츠를 보거나 추가, 삭제 또는 변경할 수도 있습니다. 사이트에서 사용자를 추가 및 제거하고 해당 사이트로 초대할 수 있습니다. 보류 중인 비활성 사이트 자동 삭제와 같은 이벤트에 대한 전자 메일 알림을 받는 것은 사이트 모음 소유자뿐입니다. 기본적으로 사이트 모음 소유자는 액세스가 거부된 사용자의 액세스 요청도 받습니다.

  • 팜 관리자 이 그룹에서는 서버 및 서버 팜 설정을 관리할 수 있는 사용자를 제어합니다. 팜 관리자는 기본적으로 사이트 콘텐츠에 액세스할 수 없으므로 모든 콘텐츠를 보려면 해당 사이트의 소유권을 획득해야 합니다. Farm Administrators 그룹은 중앙 관리에서만 사용되며 모든 사이트에서 사용할 수 없습니다.

  • 관리자 로컬 서버의 Administrators 그룹 구성원은 다음과 같이 모든 팜 관리자 작업 및 기타 작업을 수행할 수 있습니다.

    • 새 제품 또는 응용 프로그램 설치

    • 웹 파트 및 새 기능을 전역 어셈블리 캐시에 배포

    • 새 웹 응용 프로그램 및 새 IIS 웹 사이트 만들기

    • 서비스 시작

    Farm Administrators 그룹과 마찬가지로 로컬 서버의 Administrators 그룹 구성원은 기본적으로 사이트 콘텐츠에 액세스할 수 없습니다.

필요한 그룹을 확인한 후 사이트의 각 그룹에 할당할 권한 수준을 결정합니다.

사용 가능한 권한 수준 검토

사용자 또는 그룹에 할당하는 권한 수준에 따라 사이트를 보거나 변경 또는 관리할 수 있는 능력이 결정됩니다. 이러한 권한 수준은 사이트와 해당 사이트의 권한을 상속하는 모든 하위 사이트, 목록, 문서 라이브러리, 폴더 및 항목 또는 문서에 대한 모든 권한을 제어합니다. 적절한 권한 수준이 없는 경우 사용자가 필요한 작업을 수행할 수 없거나 의도하지 않았던 작업을 수행하게 될 수 있습니다.

기본적으로 사용할 수 있는 권한 수준은 다음과 같습니다.

  • 제한된 액세스 사이트의 모든 요소에 대한 액세스를 부여하지 않고 사용자가 특정 목록, 문서 라이브러리, 목록 항목, 폴더 또는 문서 등을 볼 수 있도록 하는 권한이 포함됩니다.

    참고

    이 권한 수준이 제거되는 경우 그룹 멤버가 사이트 내의 항목에 대해 적절한 권한을 가지는 경우에도 사이트를 탐색하여 항목에 액세스할 수 없습니다.

  • 읽기 사용자가 사이트 페이지의 항목을 볼 수 있도록 하는 권한이 포함됩니다.

  • 참가 사용자가 사이트 페이지 또는 목록 및 문서 라이브러리에서 항목을 추가 또는 변경할 수 있도록 하는 권한이 포함됩니다.

  • **디자인   **사용자가 브라우저 또는 Microsoft SharePoint Designer 2010을 사용하여 사이트 페이지의 레이아웃을 변경할 수 있도록 하는 권한이 포함됩니다.

  • 모든 권한 모든 권한이 포함됩니다.

다음은 게시 서식 파일에서 기본적으로 제공되는 기타 사용 권한 수준입니다.

  • **보기 전용   ** 사용자가 페이지, 목록 항목 및 문서를 볼 수 있도록 하는 권한이 포함됩니다.

  • 승인 페이지, 목록 항목 및 문서를 편집하고 승인하는 권한이 포함됩니다.

  • 계층 구조 관리 사이트를 만들고 페이지, 목록 항목 및 문서를 편집하는 권한이 포함됩니다.

  • 제한된 읽기 페이지와 문서는 볼 수 있지만 이전 버전이나 사용자 권한 정보는 볼 수 없는 권한이 포함됩니다.

추가 권한 수준 또는 그룹의 필요 여부 결정

기본 그룹 및 권한 수준은 권한의 일반적인 프레임워크를 제공하며 다양한 조직 유형과 해당 조직 내 여러 가지 역할에 적용될 수 있습니다. 그러나 사용자의 구성 방식이나 사용자가 사이트에서 수행하는 다양한 작업에 정확히 매핑되지 않을 수도 있습니다. 기본 그룹 및 권한 수준이 조직에 적합하지 않은 경우 사용자 지정 그룹을 만들거나 특정 권한 수준에 포함된 권한을 변경하거나 또는 사용자 지정 권한 수준을 만들 수 있습니다.

사용자 지정 그룹이 필요한 경우

사용자 지정 그룹을 만드는 방법은 아주 간단하며 사이트 보안에도 거의 영향을 미치지 않습니다. 다음 상황 중 하나에 해당하는 경우 기본 그룹을 사용하는 대신 사용자 지정 그룹을 만들어야 합니다.

  • 조직 내 사용자 역할의 수가 기본 그룹에 명시된 것보다 많거나 적은 경우. 예를 들어 Approvers, Designers 및 Hierarchy Managers, 이외에 사이트에 콘텐츠를 게시하는 작업을 담당하는 사용자 집합이 있는 경우 Publishers 그룹을 만드는 것이 좋습니다.

  • 조직 내에 고유 역할에 대해 잘 알려진 이름이 있는데 해당 역할이 사이트에서 전혀 다른 작업을 수행하는 경우. 예를 들어 조직의 제품을 판매하는 공용 사이트를 만드는 경우 Visitors 또는 Viewers 대신 Customers 그룹을 만들 수 있습니다.

  • Windows 보안 그룹과 SharePoint 그룹 간에 일대일 관계를 유지하려는 경우. 예를 들어 조직에 웹 사이트 관리자라는 보안 그룹이 있는데, 사이트를 관리할 때 쉽게 식별할 수 있도록 해당 이름을 SharePoint 그룹 이름으로 사용하려는 경우가 이에 해당합니다.

  • 다른 그룹 이름을 선호하는 경우

사용자 지정 권한 수준이 필요한 경우

권한 수준을 사용자 지정하는 것은 SharePoint 그룹을 사용자 지정하는 것보다 복잡합니다. 권한 수준에 할당된 권한을 사용자 지정할 때는 해당 변경 사항을 추적하고 변경 사항의 영향을 받는 모든 그룹과 사이트에 올바르게 적용되는지 확인해야 하며, 변경 사항이 보안이나 서버 용량 또는 성능에 부정적인 영향을 미치지 않도록 해야 합니다.

예를 들어 참가 권한 수준에 하위 사이트 만들기 권한(일반적으로 모든 권한의 권한 수준에 속해 있음)을 포함하도록 사용자 지정하는 경우 참석자 그룹의 구성원이 하위 사이트를 만들고 소유할 수 있어 잠재적으로 악의적인 사용자를 해당 하위 사이트로 초대하거나 승인되지 않은 콘텐츠를 게시할 수 있습니다. 또는 읽기 권한 수준에 일반적으로 '모든 권한' 권한 수준의 일부인 사용 현황 데이터 보기 권한이 포함되도록 사용자 지정하는 경우 Visitors 그룹의 모든 구성원이 사용 현황 데이터를 볼 수 있어 성능 문제가 발생할 수 있습니다.

다음 상황 중 하나에 해당하는 경우 기본 권한 수준을 사용자 지정해야 합니다.

  • 기본 권한 수준에 사용자가 작업을 수행하는 데 필요한 권한을 제외한 모든 권한이 포함되어 있어 해당 권한을 추가하려는 경우

  • 기본 권한 수준에 사용자에게 필요 없는 권한이 포함되어 있는 경우

    중요

    조직에 권한 수준에 포함되는 특정 권한에 대한 보안 및 기타 문제가 있는 경우에는 기본 권한 수준을 사용자 지정하면 안 됩니다. 해당 권한을 포함하는 권한 수준에 할당된 모든 사용자가 해당 권한을 사용하지 못하게 하려면 모든 권한 수준을 변경하는 대신 서버 팜의 모든 웹 응용 프로그램에 대해 이 권한을 해제해야 합니다.

권한 수준의 여러 사항을 변경하려면 필요한 권한을 모두 포함하는 사용자 지정 권한 수준을 만드는 것이 좋습니다.

다음 중 상황 중 하나에 해당하는 경우 추가 권한 수준을 만드는 것이 좋습니다.

  • 특정 권한 수준에서 여러 개의 권한을 제외하려는 경우

  • 새 권한 수준에 대해 고유한 권한 집합을 정의하려는 경우

권한 수준을 만들려면 기존 권한 수준을 복사한 다음 변경하거나, 권한 수준을 만든 다음 포함시킬 권한을 선택하십시오.

참고

일부 권한은 다른 권한에 종속되어 있습니다. 다른 권한이 종속되어 있는 권한을 삭제하면 종속된 권한도 삭제됩니다.