사용자 권한을 통해 컴퓨팅 환경에서 사용자와 그룹에게 특정 권한 및 로그온 권한을 부여합니다. 관리자는 그룹 계정 또는 개별 사용자 계정에 특정 권한을 할당할 수 있습니다. 이러한 권한을 부여받은 사용자는 시스템에 대한 대화형 로그온 또는 파일 및 디렉터리 백업과 같은 특정 작업을 수행할 수 있습니다.
사용자 계정 관리 작업을 쉽게 하려면 사용 권한을 기본적으로 개별 사용자 계정이 아닌 그룹 계정에 할당해야 합니다. 그룹 계정에 사용 권한을 할당하는 경우 사용자가 그 그룹의 구성원이 되면 자동으로 해당 권한을 할당받게 됩니다. 이러한 사용 권한 관리 방법이 사용자 계정을 만들 때 각 계정에 개별 사용 권한을 할당하는 방법보다 더 편리합니다.
다음 표에서는 사용자에게 부여할 수 있는 사용 권한을 나열하고 설명합니다.
| 사용 권한 | 설명 | 기본 설정 |
|---|---|---|
|
운영 체제의 일부로 작동 |
인증 없이도 모든 사용자를 가장하는 프로세스를 허용합니다. 그러므로 이 프로세스를 실행하면 해당 사용자와 동일한 로컬 리소스에 액세스할 수 있는 권한이 생깁니다. 이 권한을 필요로 하는 프로세스에서는 이 권한이 특별히 할당된 별도의 사용자 계정을 사용하는 것이 아니라 이 권한이 이미 포함된 로컬 시스템 계정을 사용해야 합니다. Windows 2000 또는 Windows NT 4.0을 실행하는 서버를 사용하고 암호를 일반 텍스트로 교환하는 응용 프로그램을 사용하는 조직을 제외하고는 이 사용 권한을 사용자에게 할당할 필요가 없습니다. |
로컬 시스템 |
|
도메인에 워크스테이션 추가 |
도메인에 워크스테이션을 추가할 수 있는 그룹 또는 사용자를 결정합니다. 이 사용자 권한은 도메인 컨트롤러에서만 유효합니다. 기본적으로 인증된 사용자는 모두 이 권한을 가지며 도메인에서 최대 10개의 컴퓨터 계정을 만들 수 있습니다. 컴퓨터 계정을 도메인에 추가하면 해당 컴퓨터는 AD DS(Active Directory 도메인 서비스)에 있는 계정과 그룹을 인식할 수 있습니다. |
도메인 컨트롤러: Authenticated Users |
|
프로세스에 대한 메모리 할당량 조정 |
프로세스에 사용될 수 있는 최대 메모리를 변경할 사용자를 결정합니다. 이 사용자 권한은 워크스테이션과 서버의 기본 도메인 컨트롤러 GPO(그룹 정책 개체) 및 로컬 보안 정책에서 정의됩니다. |
Administrators |
|
파일 및 디렉터리 백업 |
시스템 백업을 위해 파일 및 디렉터리, 레지스트리 및 기타 영구 개체 권한을 무시할 수 있는 사용자를 결정합니다. |
Administrators 및 Backup Operators |
|
트래버스 검사 무시 |
사용자에게 트래버스된 디렉터리에 대한 권한이 없더라도 디렉터리 트리를 트래버스할 수 있는 사용자를 결정합니다. 이 권한은 사용자가 디렉터리의 내용을 나열할 수 없고 디렉터리를 트래버스만 할 수 있도록 허용합니다. 이 사용자 권한은 워크스테이션과 서버의 기본 도메인 컨트롤러 GPO 및 로컬 보안 정책에서 정의됩니다. |
워크스테이션 및 서버: Administrators, Backup Operators, Power Users, Users 및 Everyone 도메인 컨트롤러: Administrators 및 Authenticated Users |
|
시스템 시간 변경 |
컴퓨터의 내부 클럭에 대한 시간 및 날짜를 변경할 수 있는 사용자 및 그룹을 결정합니다. 이 사용자 권한을 할당 받은 사용자는 이벤트 로그의 표시 형식에 영향을 줄 수 있습니다. 시스템 시간을 변경하면 기록된 이벤트에 이벤트가 발생한 실제 시간이 아닌 이 새로운 시간이 반영됩니다. 이 사용자 권한은 워크스테이션과 서버의 기본 도메인 컨트롤러 GPO 및 로컬 보안 정책에서 정의됩니다. |
워크스테이션 및 서버: Administrators 및 Power Users 도메인 컨트롤러: Administrators 및 Server Operators |
|
페이지 파일 만들기 |
사용자가 페이지 파일을 만들고 크기를 변경할 수 있도록 합니다. 이 작업은 시스템 속성의 고급 탭에 있는 성능 옵션에서 특정 드라이브의 페이징 파일 크기를 지정하는 방법으로 수행됩니다. |
Administrators |
|
토큰 개체 만들기 |
프로세스에서 NtCreateToken() 또는 기타 토큰 생성 API를 사용할 때 로컬 리소스에 대한 액세스를 얻는 데 사용할 수 있는 토큰을 만드는 프로세스를 허용합니다. 이 권한을 필요로 하는 프로세스에서는 이 권한이 특별히 할당된 별도의 사용자 계정을 사용하는 것이 아니라 이 권한이 이미 포함된 로컬 시스템 계정을 사용해야 합니다. |
없음 |
|
전역 개체 만들기 |
터미널 서비스 또는 원격 데스크톱 서비스 세션에서 전역 개체를 만들 수 있는 계정을 결정합니다. |
Administrators 및 로컬 시스템 |
|
영구 공유 개체 만들기 |
운영 체제의 개체 관리자에서 디렉터리 개체를 만드는 프로세스를 허용합니다. 이 권한은 개체 네임스페이스를 확장한 커널 모드 구성 요소에 유용합니다. 커널 모드에서 실행 중인 구성 요소에는 이미 이 사용자 권한이 할당되었으므로 해당 권한을 할당할 필요가 없습니다. |
없음 |
|
프로그램 디버그 |
디버거를 프로세스 또는 커널에 연결할 수 있는 사용자를 결정합니다. 자신의 응용 프로그램을 디버깅하는 개발자에게는 이 사용자 권한을 할당할 필요가 없습니다. 새 시스템 구성 요소를 디버깅하는 개발자에게는 이 사용자 권한을 할당해야 합니다. 이 사용자 권한은 중요한 운영 체제 구성 요소에 대한 전체 액세스를 허용합니다. |
Administrators 및 로컬 시스템 |
|
컴퓨터 및 사용자 계정을 위임용으로 트러스트 |
사용자나 컴퓨터 개체에 위임용으로 트러스트 설정을 지정할 수 있는 사용자를 결정합니다. 이 권한이 부여된 사용자나 개체는 사용자나 컴퓨터 개체의 계정 컨트롤 플래그에 대한 쓰기 권한이 있어야 합니다. 위임용으로 트러스트된 컴퓨터에서(또는 사용자 컨텍스트에서) 실행 중인 서버 프로세스는 클라이언트 계정에 계정을 위임할 수 없음 계정 컨트롤 플래그가 설정되지 않은 경우 클라이언트의 위임된 자격 증명을 사용하여 다른 컴퓨터의 리소스에 액세스할 수 있습니다. 이 사용자 권한은 워크스테이션과 서버의 기본 도메인 컨트롤러 GPO 및 로컬 보안 정책에서 정의됩니다. |
도메인 컨트롤러: Administrators |
|
원격 시스템에서 강제 종료 |
네트워크상의 원격 위치에서 컴퓨터를 종료할 수 있는 사용자를 결정합니다. 이 사용자 권한을 잘못 사용하면 서비스 거부가 발생할 수 있습니다. 이 사용자 권한은 워크스테이션과 서버의 기본 도메인 컨트롤러 GPO 및 로컬 보안 정책에서 정의됩니다. |
워크스테이션 및 서버: Administrators 도메인 컨트롤러: Administrators 및 Server Operators |
|
보안 감사 생성 |
항목을 보안 로그에 추가하는 프로세스에서 사용할 수 있는 계정을 결정합니다. 보안 로그는 인증되지 않은 시스템 액세스를 추적하는 데 사용됩니다. 이 사용자 권한을 잘못 사용하면 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 보안 정책 설정이 활성화된 경우 잠재적으로 공격의 흔적을 숨기거나 서비스를 거부하여 감사 이벤트를 많이 생성하게 됩니다. 자세한 내용은 |
로컬 시스템 |
|
인증 후 클라이언트 가장 |
다른 계정을 가장할 수 있는 계정을 결정합니다. |
Administrators 및 Service |
|
예약 우선 순위 증가 |
다른 프로세스에 대한 속성 쓰기 권한을 가진 프로세스를 사용하여 그 밖의 프로세스에 할당된 실행 우선 순위를 높일 수 있는 계정을 결정합니다. 이 권한을 가진 사용자는 작업 관리자 사용자 인터페이스를 통해 프로세스의 예약 우선 순위를 변경할 수 있습니다. |
Administrators |
|
장치 드라이버 로드 및 언로드 |
장치 드라이버나 기타 코드를 커널 모드에 동적으로 로드 및 언로드할 수 있는 사용자를 결정합니다. 플러그 앤 플레이 장치 드라이버에는 이 사용자 권한이 적용되지 않습니다. 장치 드라이버는 신뢰할 수 있거나 매우 강력한 권한의 프로그램으로 실행되므로 다른 사용자에게 이 권한을 할당하지 않는 것이 좋습니다. 대신 StartService() API를 사용합니다. |
Administrators |
|
메모리의 페이지 잠금 |
데이터를 디스크의 가상 메모리로 페이징할 수 없도록 실제 메모리에 데이터를 유지하는 프로세스를 사용할 수 있는 계정을 결정합니다. 이 권한을 사용하면 사용 가능한 메모리(RAM)의 양이 줄어들어 시스템 성능에 많은 영향을 줄 수 있습니다. |
없음. 특정 시스템 프로세스에는 이미 이 권한이 있습니다. |
|
감사 및 보안 로그 관리 |
파일, Active Directory 개체, 레지스트리 키 등의 개별 리소스에 대한 개체 액세스 감사 옵션을 지정할 수 있는 사용자를 결정합니다. 이 보안 설정에서는 일반적으로 사용자가 파일 및 개체 액세스 감사를 사용할 수 없습니다. 이 감사를 사용하려면 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\감사 정책에서 개체 액세스 감사 설정을 구성해야 합니다. 자세한 내용은 감사된 이벤트를 이벤트 뷰어의 보안 로그에서 볼 수 있습니다. 이 권한을 가진 사용자는 보안 로그를 보고 지울 수도 있습니다. |
Administrators |
|
펌웨어 환경 값 수정 |
펌웨어 환경 값을 수정할 수 있는 사용자를 결정합니다. 펌웨어 환경 변수는 x86 기반이 아닌 컴퓨터의 비휘발성 RAM에 저장된 설정입니다. 프로세스에 따라 설정의 효과가 다릅니다.
|
Administrators 및 로컬 시스템 |
|
프로필 단일 프로세스 |
성능 모니터링 도구를 사용하여 시스템 프로세스가 아닌 프로세스의 성능을 모니터링할 수 있는 사용자를 결정합니다. |
Administrators, Power Users 및 로컬 시스템 |
|
프로필 시스템 성능 |
성능 모니터링 도구를 사용하여 시스템 프로세스의 성능을 모니터링할 수 있는 사용자를 결정합니다. |
Administrators 및 로컬 시스템 |
|
도킹 스테이션에서 컴퓨터 제거 |
사용자가 로그온하지 않은 채로 도킹 스테이션에서 휴대용 컴퓨터의 잠금을 해제할 수 있는지 여부를 결정합니다. 이 정책을 사용하는 경우 사용자는 도킹 스테이션에서 휴대용 컴퓨터를 제거하기 전에 먼저 로그온해야 합니다. 이 정책을 사용하지 않는 경우에는 로그온하지 않은 채로 도킹 스테이션에서 휴대용 컴퓨터를 제거할 수 있습니다. |
사용 안 함 |
|
프로세스 수준 토큰 바꾸기 |
시작된 하위 프로세스에 연결된 기본 토큰을 대체하는 프로세스를 시작할 수 있는 사용자 계정을 결정합니다. 이 사용자 권한은 워크스테이션과 서버의 기본 도메인 컨트롤러 GPO 및 로컬 보안 정책에서 정의됩니다. |
Local Service 및 Network Service |
|
파일 및 디렉터리 복원 |
백업된 파일과 디렉터리를 복원할 때 파일, 디렉터리, 레지스트리 및 기타 영구 개체 사용 권한을 무시할 수 있는 사용자를 결정하고, 올바른 보안 주체를 개체의 소유자로 설정할 수 있는 사용자를 결정합니다. 특히 이 사용자 권한은 해당 사용자나 그룹에 시스템의 모든 파일과 폴더에 대한 다음 사용 권한을 부여하는 것과 비슷합니다.
| 워크스테이션 및 서버: Administrators 및 Backup Operators 도메인 컨트롤러: Administrators, Backup Operators 및 Server Operators |
|
시스템 종료 |
이 보안 설정은 컴퓨터에 로컬로 로그온한 사용자 중 시스템 종료 명령을 사용하여 운영 체제를 종료할 수 있는 사용자를 결정합니다. 이 사용자 권한을 잘못 사용하면 서비스 거부가 발생할 수 있습니다. | 워크스테이션: Administrators, Backup Operators, Power Users 및 Users 서버: Administrators, Backup Operators 및 Power Users 도메인 컨트롤러: Account Operators, Administrators, Backup Operators, Server Operators 및 Print Operators |
|
디렉터리 서비스 데이터 동기화 |
모든 디렉터리 서비스 데이터를 동기화하는 권한을 갖는 사용자와 그룹을 결정합니다. Active Directory 동기화라고도 합니다. |
없음 |
|
파일 또는 기타 개체의 소유권 가져오기 |
Active Directory 개체, 파일 및 폴더, 프린터, 레지스트리 키, 프로세스, 스레드 등을 비롯한 시스템의 보안 개체에 대한 소유권을 가져갈 수 있는 사용자를 결정합니다. | Administrators |
일부 권한은 개체에 설정된 사용 권한을 재정의할 수 있습니다. 예를 들어 Backup Operators 그룹의 구성원으로 도메인 계정에 로그온한 사용자는 모든 도메인 서버에 대해 백업 작업을 수행할 수 있는 권한을 갖게 됩니다. 그러나 이를 위해서는 파일 소유자가 Backup Operators 그룹의 구성원을 비롯한 모든 사용자의 액세스를 명시적으로 거부하는 사용 권한을 설정한 파일뿐 아니라 이러한 서버의 모든 파일을 읽을 수 있는 기능이 필요합니다. 사용자 권한(이 경우 백업을 수행할 수 있는 권한)이 모든 파일 및 디렉터리 사용 권한보다 우선하기 때문입니다. 자세한 내용은
 | 참고 |
명령 프롬프트에서 whoami /priv를 입력하여 권한을 확인할 수 있습니다. |