액세스 제어 개요

적용 대상: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

IT 전문가 위한이 항목에서는 Windows 사용자, 그룹 및 컴퓨터 개체는 네트워크 또는 컴퓨터에 액세스 권한을 부여 하는 프로세스의 액세스 제어를 설명 합니다. 액세스 제어를 구성 하는 주요 개념은 권한, 개체의 소유권, 사용 권한, 사용자 권한 및 개체 감사 상속입니다.

기능 설명

지원 되는 버전의 Windows 실행 중인 컴퓨터 상호 관련 된 인증 및 권한 부여 메커니즘을 통해 시스템 및 네트워크 리소스의 사용을 제어할 수 있습니다. Windows 운영 체제 기본 제공 권한 부여 및 액세스 제어 기술을 사용 하 여 리소스를 보호 하는의 두 번째 단계를 구현 하는 사용자가 인증 되 면: 인증된 된 사용자 리소스에 액세스할 수 있는 올바른 권한이 있는지 확인 합니다.

공유 리소스는 리소스 소유자 외에도 사용자 및 그룹에서 사용할 수 있으므로 무단으로 사용되지 않도록 보호해야 합니다. 액세스 제어 모델은 사용자 및 그룹 (보안 주체 라고도 함)는 고유 보안 식별자 (Sid)로 표시 됩니다. 권한 및 각 사용자와 그룹이 수행할 수 있는 운영 체제에 알려주는 사용 권한이 할당 됩니다. 리소스마다 보안 주체에 사용 권한을 부여하는 소유자가 있습니다. 액세스 제어를 검사하는 동안 이러한 사용 권한을 검사하여 리소스에 액세스할 수 있는 보안 주체 및 보안 주체가 리소스에 액세스하는 방법이 결정됩니다.

보안 주체 개체에 작업 (읽기, 쓰기, 수정 또는 모든 권한 포함)를 수행 합니다. 개체에는 파일, 폴더, 프린터, 레지스트리 키 및 AD DS(Active Directory 도메인 서비스) 개체 등이 포함됩니다. 리소스 사용 하 여 액세스 제어 목록 (Acl) 사용 권한을 할당을 공유 합니다. 이 리소스 관리자를 다음과 같은 방법으로 액세스 제어를 적용할 수 있습니다.

• 권한 없는 사용자 및 그룹 액세스 거부

• 권한 있는 사용자 및 그룹에게 제공되는 액세스에 대해 올바르게 정의된 제한 설정

일반적으로 개체 소유자는 개별 사용자가 아닌 보안 그룹에 사용 권한을 부여합니다. 기존의 그룹에 추가된 사용자와 컴퓨터에는 해당 그룹의 사용 권한이 지정됩니다. 폴더 등의 개체에 하위 폴더 및 파일 등의 다른 개체가 포함된 경우, 이를 컨테이너라고 합니다. 개체의 계층 구조에서 컨테이너와 해당 내용 사이의 관계는 부모와 컨테이너를 참조 하 여 표현 됩니다. 자식으로 컨테이너에 있는 개체 라고 하 고 자식은 부모의 액세스 제어 설정을 상속 합니다. 개체 소유자는 보다 수월한 액세스 제어 관리를 위해 개별 자식 개체가 아닌 컨테이너 개체에 대한 사용 권한을 정의하는 경우가 많습니다.

이 콘텐츠 집합에 포함 되어 있습니다.

• 동적 액세스 제어 개요

• 보안 식별자에 대 한 기술 개요

• 보안 주체에 대 한 기술 개요

  • 로컬 계정

  • Active Directory 계정

  • Microsoft 계정

  • 서비스 계정

  • Active Directory 보안 그룹

유용한 팁

지원 되는 버전의 Windows 사용 하는 관리자는 다음과 같은 보안 기능을 응용 프로그램 및 개체 및 주체 액세스 제어 관리 구체화할 수 있습니다.

• 다양한 여러 네트워크 리소스가 잘못 사용되지 않도록 보호

• 조직 정책 및 해당 작업의 요구와 일관 된 방식으로 리소스에 액세스 하는 사용자를 프로 비전 합니다.

• 사용자가 여러 위치에서 다양한 장치를 통해 리소스에 액세스할 수 있도록 지원

• 업데이트 사용자와 리소스에 액세스 하는 기능으로는 조직의 정책 정기적으로 변경 하거나 사용자의 작업으로 변경 합니다.

• 사용 시나리오 (또는 보다 신속 하 게 다양 한 장치, 휴대폰 및 태블릿 컴퓨터와 같은 원격 위치에서 액세스)의 증가세에 대 한 계정입니다.

• 합법적인 사용자가 작업을 수행하는 데 필요한 리소스에 액세스할 수 없는 경우 액세스 관련 문제 식별 및 해결

사용 권한

권한은은 사용자 또는 그룹 개체 또는 개체 속성에 대 한 액세스 권한이 부여 된 유형을 정의 합니다. 예를 들어 재무 그룹에는 Payroll.dat 라는 파일에 대 한 읽기 및 쓰기 권한은 부여할 수 있습니다.

액세스 제어 사용자 인터페이스를 사용 하 여 파일, Active Directory 개체, 레지스트리 개체 또는 프로세스와 같은 시스템 개체와 같은 개체에 대 한 NTFS 권한을 설정할 수 있습니다. 모든 사용자, 그룹 또는 컴퓨터에 사용 권한은 부여할 수 있습니다. 개체에 대 한 액세스를 확인할 때 시스템 성능을 높이기 때문에 그룹에 권한을 할당 하는 것이 좋습니다.

모든 개체에 대 한 사용 권한을 부여할 수 있습니다.

• 그룹, 사용자 및 도메인의 보안 식별자를 사용 하 여 다른 개체를 선택 합니다.

• 그룹 및 해당 도메인에서 트러스트 된 도메인입니다.

• 로컬 그룹 및 개체가 상주 하는 컴퓨터의 사용자입니다.

개체에 연결 된 사용 권한 개체의 유형에 따라 달라 집니다. 예를 들어 파일에 연결할 수 있는 권한을 해당 레지스트리 키에 연결할 수 있는와 다릅니다. 그러나 일부 사용 권한은 대부분의 개체 형식에 공통적으로 적용 됩니다. 이러한 일반적인 사용 권한은 다음과 같습니다.

• 읽기

• 수정

• 소유자 변경

• 삭제

사용 권한을 설정 하면 그룹 및 사용자에 대 한 액세스 수준을 지정 합니다. 예를 들어 한 사용자는 파일의 내용을 읽고 다른 사용자 변경 파일을 하도록 다른 모든 사용자 파일에 액세스 하는 것을 방지 하도록 할 수 있습니다. 특정 사용자가 프린터를 구성할 수 있으며 다른 사용자에 게 인쇄할 수 있도록 프린터에서 비슷한 권한을 설정할 수 있습니다.

파일에 대 한 권한을 변경 해야 할 때 Windows 탐색기를 실행, 파일 이름을 마우스 오른쪽 단추로 클릭 하 수 클릭 속성합니다. 에 보안 탭, 파일에 대 한 권한을 변경할 수 있습니다. 자세한 내용은 참조 사용 권한 관리합니다.

개체의 소유권

소유자는 해당 개체를 만들 때 개체에 할당 됩니다. 기본적으로 소유자는 개체의 작성자가 있습니다. 개체에 설정 되는 권한을 관계 없이 개체의 소유자 권한을 항상 변경할 수 있습니다. 자세한 내용은 참조 개체 소유권 관리합니다.

사용 권한 상속

상속을 사용 하면 관리자가 쉽게 지정 하 고 사용 권한을 관리할 수 있습니다. 이 기능은 해당 컨테이너의 모든 상속 가능한 사용 권한을 상속 하는 컨테이너 내에서 개체는 자동으로 합니다. 예를 들어 폴더 내의 파일에는 폴더의 권한을 상속합니다. 상속을 표시 된 사용 권한만 상속 됩니다.

사용자 권한

사용자 권한 특정 권한 및 사용자의 컴퓨팅 환경에서 사용자 및 그룹에 로그인 권한을 부여합니다. 관리자는 개별 사용자 계정 또는 그룹 계정에 특정 권한을 할당할 수 있습니다. 이러한 권한은 사용자가 대화형으로 시스템에 로그인 하 여 파일 및 디렉터리를 백업 등의 특정 작업을 수행 하도록 권한을 부여 합니다.

사용자 권한은 사용자 계정에 적용 하 고 개체와 관련 된 권한은 때문에 서로 다릅니다. 있지만 사용자 권한을 개별 사용자 계정에 적용할 수 있는 사용자 권한은 가장 잘 관리 하는 그룹 계정 기준입니다. 사용자 권한을 부여 하려면 액세스 제어 사용자 인터페이스에서 지원은 없습니다. 그러나 통해 사용자 권한 할당을 관리할 수 있습니다 로컬 보안 설정합니다.

사용자 권한에 대 한 자세한 내용은 참조 사용자 권한 할당합니다.

개체 감사

관리자의 권한이 있는 사용자의 성공 또는 실패에 대 한 액세스 개체를 감사할 수 있습니다. 액세스 제어 사용자 인터페이스를 사용 하 여 감사 개체 액세스를 선택할 수 있지만 먼저 감사 정책을 선택 하 여 활성화 해야 개체 액세스 감사 아래 로컬 정책 에서 로컬 보안 설정합니다. 그런 다음 이벤트 뷰어에서 보안 로그에 이러한 보안 관련 이벤트를 볼 수 있습니다.

감사에 대 한 자세한 내용은 참조 보안 감사 개요합니다.

참고 항목

• 권한 부여 및 액세스 제어에 대 한 자세한 내용은 참조 Windows 보안 컬렉션합니다.

• 권한 부여 전략에 대 한 정보를 참조 하십시오. 리소스 권한 부여 전략 디자인합니다.