액세스 제어는 네트워크 또는 컴퓨터의 개체에 액세스할 수 있도록 사용자, 그룹 및 컴퓨터에 권한을 부여하는 프로세스입니다.

액세스 제어를 이해하고 관리하려면 다음 간의 관계를 이해해야 합니다.

  • 개체(파일, 프린터 및 기타 리소스)

  • 액세스 토큰

  • ACL(액세스 제어 목록) 및 ACE(액세스 제어 항목)

  • 주체(사용자 또는 응용 프로그램)

  • 운영 체제

  • 사용 권한

  • 사용자 권한

주체가 개체에 액세스할 수 있으려면 운영 체제의 보안 하위 시스템에서 주체를 식별해야 합니다. 이 식별에 사용되는 ID는 주체가 로그온할 때마다 다시 만들어지는 액세스 토큰 내에 포함되어 있습니다. 주체의 개체 액세스를 허용하기 전에 운영 체제는 주체의 액세스 토큰이 개체에 액세스하여 원하는 작업을 수행할 권한이 있는지 확인합니다. 이를 위해 액세스 토큰의 정보를 개체의 ACE(액세스 제어 항목)와 비교합니다.

ACE는 개체의 유형에 따라 서로 다른 여러 동작을 허용하거나 거부할 수 있습니다. 예를 들어 파일 개체의 옵션에는 읽기, 쓰기 및 실행이 포함될 수 있습니다. 프린터에서 사용할 수 있는 ACE에는 인쇄, 프린터 관리 및 문서 관리가 포함됩니다.

개체의 개별 ACE는 ACL(액세스 제어 목록)로 통합됩니다. 보안 하위 시스템은 개체의 ACL을 확인하여 사용자와 사용자가 속한 그룹에 적용되는 ACE를 찾습니다. 그리고 사용자나 사용자 그룹 중 하나의 액세스를 허용 또는 거부하는 ACE를 찾거나 확인할 ACE가 더 이상 없을 때까지 각 ACE를 차례로 확인합니다. ACL의 끝에 도달했는데도 필요한 액세스가 명시적으로 허용 또는 거부되지 않은 경우 보안 하위 시스템은 개체에 대한 액세스를 거부합니다.

사용 권한

사용 권한은 사용자나 그룹에 허가되는, 개체 또는 개체 속성에 대한 액세스 종류를 정의합니다. 예를 들어 Finance 그룹에 Payroll.dat 파일에 대한 읽기 및 쓰기 권한을 부여할 수 있습니다.

액세스 제어 사용자 인터페이스를 사용하면 파일, Active Directory 개체, 레지스트리 개체 또는 프로세스를 포함하는 시스템 개체 같은 개체에 대해 NTFS 사용 권한을 설정할 수 있습니다. 사용자, 그룹 또는 컴퓨터 모두에 사용 권한을 부여할 수 있습니다. 개체에 대한 액세스를 확인할 때 시스템 성능을 높이기 위해서는 그룹에 사용 권한을 할당하는 것이 좋습니다.

모든 개체의 경우 다음에 사용 권한을 부여할 수 있습니다.

  • 도메인의 그룹, 사용자 및 보안 식별자가 있는 기타 개체

  • 해당 도메인 및 트러스트된 모든 도메인의 그룹 및 사용자

  • 개체가 속한 컴퓨터의 로컬 그룹 및 사용자

개체에 지정되는 사용 권한은 개체 유형에 따라 달라집니다. 예를 들어 파일에 지정할 수 있는 사용 권한과 레지스트리 키에 지정할 수 있는 사용 권한은 다릅니다. 하지만 일부 사용 권한은 대부분의 개체 유형에 공통적으로 지정됩니다. 이러한 공통적인 사용 권한은 아래와 같습니다.

  • 읽기

  • 수정

  • 소유자 변경

  • 삭제

사용 권한을 설정할 때 그룹과 사용자에 대해 액세스 수준을 지정합니다. 예를 들어 한 사용자는 파일의 내용을 읽을 수 있고 다른 사용자는 그 파일을 변경할 수 있으며 그 외의 다른 모든 사용자는 그 파일을 액세스하지 못하도록 만들 수 있습니다. 프린터에도 이와 비슷한 사용 권한을 설정하여 어떤 사용자는 프린터를 구성할 수 있고 다른 사용자는 인쇄만 할 수 있도록 만들 수 있습니다.

파일 사용 권한을 변경해야 할 경우 Windows 탐색기를 시작하고 파일 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 보안 탭에서 파일 사용 권한을 변경할 수 있습니다. 자세한 내용은 사용 권한 관리를 참조하십시오.

참고

공유 사용 권한이라는 다른 종류의 사용 권한은 폴더의 속성 페이지에 있는 공유 탭에서 설정하거나 공유 폴더 마법사를 사용하여 설정합니다. 자세한 내용은 파일 서버의 공유 및 NTFS 사용 권한을 참조하십시오.

개체의 소유권

개체가 만들어질 때 개체에 대한 소유자가 지정됩니다. 기본적으로 개체를 만든 사람이 소유자가 됩니다. 개체에 어떠한 사용 권한이 설정되어 있더라도 개체의 소유자는 항상 개체 사용 권한을 변경할 수 있습니다. 자세한 내용은 개체 소유권 관리를 참조하십시오.

사용 권한 상속

관리자는 상속을 사용하여 사용 권한을 쉽게 지정하고 관리할 수 있습니다. 이 기능으로 컨테이너 안의 개체는 자동으로 해당 컨테이너의 상속 가능한 모든 사용 권한을 상속하게 됩니다. 예를 들어 폴더 안에 파일을 만들면 그 파일이 폴더의 사용 권한을 상속받습니다. 상속받을 것으로 표시된 사용 권한만 상속됩니다.

사용자 권한

사용자 권한을 통해 컴퓨팅 환경에서 사용자와 그룹에게 특정 권한 및 로그온 권한을 부여합니다. 관리자는 그룹 계정 또는 개별 사용자 계정에 특정 권한을 할당할 수 있습니다. 이러한 권한을 부여받은 사용자는 시스템에 대한 대화형 로그온 또는 파일 및 디렉터리 백업과 같은 특정 작업을 수행할 수 있습니다.

사용자 권한은 사용자 계정에 적용되고 사용 권한은 개체에 지정되기 때문에 이들은 서로 다릅니다. 사용자 권한은 개별 사용자 계정에도 적용할 수 있지만 그룹 계정 단위로 관리하는 것이 가장 효과적입니다. 액세스 제어 사용자 인터페이스에는 사용자 권한을 부여하기 위한 지원이 없지만 로컬 보안 설정 스냅인의 로컬 정책\사용자 권한 할당 아래에서 사용자 권한 할당을 관리할 수 있습니다. 자세한 내용은 사용자 권한을 참조하십시오.

개체 감사

관리자의 권한을 갖고 있으면 개체에 대한 사용자 액세스의 성공 또는 실패 여부를 감사할 수 있습니다. 액세스 제어 사용자 인터페이스를 사용하면 감사할 개체 액세스를 선택할 수 있지만 먼저 로컬 정책\감사 정책\로컬 정책에서 개체 액세스 감사를 선택하여 감사 정책을 사용할 수 있도록 설정해야 합니다. 그래야 이러한 보안 관련 이벤트를 이벤트 뷰어의 보안 로그에서 볼 수 있습니다.

추가 참조