권한 부여 관리자에서 권한 부여 정책의 수신자는 다음과 같은 여러 종류의 그룹으로 표시됩니다.

  • Windows 사용자 및 그룹. 이 그룹에는 사용자, 컴퓨터, 기본 제공 보안 주체 그룹 등이 포함됩니다. Windows 사용자 및 그룹은 권한 부여 관리자만이 아니라 Windows 전체에서 사용됩니다.

  • 응용 프로그램 그룹. 이 그룹에는 기본 응용 프로그램 그룹과 LDAP(Lightweight Directory Access Protocol) 쿼리 그룹이 포함됩니다. 응용 프로그램 그룹은 권한 부여 관리자 역할 기반 관리에 특별히 사용됩니다.

중요

응용 프로그램 그룹은 사용자, 컴퓨터 또는 기타 보안 주체로 이루어진 그룹이며, 응용 프로그램으로 이루어진 그룹이 아닙니다.

  • LDAP 쿼리 그룹. 이 그룹의 구성원은 필요할 때마다 LDAP 쿼리에서 동적으로 계산됩니다. LDAP 쿼리 그룹은 응용 프로그램 그룹의 한 종류입니다.

  • 기본 응용 프로그램 그룹. 이 그룹은 LDAP 쿼리 그룹, Windows 사용자 및 그룹, 기타 기본 응용 프로그램 그룹 등으로 정의됩니다. 기본 응용 프로그램 그룹은 응용 프로그램 그룹의 한 종류입니다.

  • 비즈니스 규칙 응용 프로그램 그룹. 이 그룹은 VBScript나 JScript로 작성된 스크립트에 의해 정의되므로 그룹 구성원은 사용자가 정의하는 조건에 따라 런타임에 동적으로 결정됩니다.

Windows 사용자 및 그룹

AD DS(Active Directory Domain Services)의 그룹에 대한 자세한 내용은 권한 부여 관리자를 사용하는 다중 계층 응용 프로그램에 대한 역할 기반 액세스 제어(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?LinkId=64287)를 참조하십시오. AD DS에 저장되지 않는 보안 주체에 대한 자세한 내용은 보안 주체 기술 참조(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?LinkId=129213)를 참조하십시오.

응용 프로그램 그룹

새 응용 프로그램 그룹을 만들 때 그 그룹이 LDAP 쿼리 그룹이 될지 아니면 기본 응용 프로그램 그룹이 될지 여부를 결정해야 합니다. 권한 부여 관리자의 역할 기반 응용 프로그램의 경우 Windows 사용자 및 그룹에 부여할 수 있는 모든 권한을 응용 프로그램 그룹에도 부여할 수 있습니다.

구성원을 순환적으로 정의할 수 없습니다. 구성원을 순환적으로 정의하면 "<그룹 이름>을(를) 추가할 수 없습니다. 다음 문제가 발생했습니다. 루프를 검색했습니다."라는 오류 메시지가 나타납니다.

LDAP 쿼리 그룹

권한 부여 관리자에서 LDAP 쿼리를 사용하여 AD DS, AD LDS(Active Directory Lightweight Directory Services) 및 기타 LDAP 호환 디렉터리에서 개체를 찾을 수 있습니다.

LDAP 쿼리를 사용하면 응용 프로그램 그룹의 속성 대화 상자의 쿼리 탭에 제공된 입력란에 원하는 LDAP 쿼리를 입력하여 LDAP 쿼리 그룹을 지정할 수 있습니다.

권한 부여 관리자에서는 LDAP 쿼리 그룹을 정의하는 데 사용할 수 있는 두 가지 유형의 LDAP 쿼리, 즉 권한 부여 관리자 버전 1 쿼리와 LDAP URL 쿼리를 지원합니다.

  • 권한 부여 관리자 버전 1 LDAP 쿼리

    버전 1 LDAP 쿼리는 RFC 2255에 설명된 LDAP URL 쿼리 구문을 제한적으로 지원합니다. 이 쿼리는 현재 클라이언트 컨텍스트에 지정된 사용자 개체의 특성 목록을 쿼리하는 것으로 제한됩니다.

    예를 들어 다음 쿼리는 Andy를 제외한 모든 사람을 찾습니다.

    (&(objectCategory=person)(objectClass=user)(!cn=andy)) 

    이 쿼리는 클라이언트가 northwindtraders.com에 있는 별칭이 StatusReports인 구성원인지 평가합니다.

    (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)

    권한 부여 관리자에서는 이전 버전의 권한 부여 관리자로 개발한 솔루션을 더욱 쉽게 업그레이드할 수 있도록 버전 1 쿼리를 계속 지원합니다.

  • LDAP URL 쿼리

    검색할 수 있는 개체와 특성에 대한 제한을 제거하기 위해 권한 부여 마법사에서는 RFC 2255 기반의 LDAP URL 쿼리 구문을 지원합니다. 따라서 현재 사용자 개체가 아닌 다른 디렉터리 개체를 검색의 루트로 사용하는 LDAP 쿼리 그룹을 만들 수 있습니다.

    LDAP URL은 프로토콜 접두사 "ldap"로 시작하며 다음과 같은 형식을 따릅니다.

참고

고유 이름은 DN이라고도 합니다.

ldap://<server:port>/<baseObjectDN>?<attributes>?<queryScope>?<Filter>

특히 다음과 같은 문법이 지원됩니다.

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName
       hostport   = hostport
       attrdesc   = AttributeDescription
       filter     = filter

예를 들어 다음 쿼리는 "fabserver"라는 호스트의 포트 389에서 실행 중인 LDAP 서버에서 회사 특성이 "FabCo"로 설정된 사용자를 반환합니다.

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

LDAP URL 쿼리를 사용할 때 특수한 자리 표시자 값 %AZ_CLIENT_DN%를 사용할 수 있습니다. 이 자리 표시자는 액세스 검사를 수행하는 클라이언트의 DN(고유 이름)으로 대체됩니다. 이 자리 표시자를 사용하면 요청을 하는 클라이언트의 고유 이름과 개체의 관계를 기준으로 디렉터리의 개체를 반환하는 쿼리를 작성할 수 있습니다.

다음 예의 LDAP 쿼리는 사용자가 "Customers" OU의 구성원인지 여부를 테스트합니다.

ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

다음 예의 LDAP 쿼리는 사용자가 "SomeManager"라는 관리자의 부하 직원이고 SomeManager의 "searchattribute"가 특정 값 "searchvalue"와 동일한지 여부를 테스트합니다.

ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

LDAP URL 쿼리 구문에 대한 자세한 내용은 RFC 2255(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=65973)의 내용을 참조하십시오.

중요

"ldap"로 시작하는 LDAP 쿼리는 LDAP URL 쿼리로 처리됩니다. 다른 문자로 시작하는 LDAP 쿼리는 버전 1 쿼리로 처리됩니다.

기본 응용 프로그램 그룹

기본 응용 프로그램 그룹은 권한 부여 관리자에 고유하게 사용됩니다.

기본 응용 프로그램 그룹 구성원을 정의하려면 다음을 수행합니다.

  1. 구성원인 사람을 정의합니다.

  2. 구성원이 아닌 사람을 정의합니다.

위 단계 모두 다음과 같은 동일한 방법으로 수행됩니다.

  • 우선 사용자가 Windows 사용자 및 그룹, 미리 정의된 기본 응용 프로그램 그룹 또는 LDAP 쿼리 그룹을 0개 이상 지정합니다.

  • 그런 다음 해당 그룹에서 비구성원을 제거하여 기본 응용 프로그램 그룹의 구성원이 계산됩니다. 이 작업은 권한 부여 관리자가 런타임에 자동으로 수행합니다.

중요

기본 응용 프로그램 그룹의 비구성원은 구성원보다 우선권을 가집니다.

비즈니스 규칙 응용 프로그램 그룹

비즈니스 규칙 응용 프로그램 그룹은 권한 부여 관리자에 고유하게 사용됩니다.

비즈니스 규칙 응용 프로그램 그룹 구성원을 정의하려면 VBScript나 JScript로 스크립트를 작성해야 합니다. 비즈니스 규칙 응용 프로그램 그룹의 속성 페이지에 지정된 텍스트 파일에서 스크립트 원본 코드가 로드됩니다.


목차