사용 권한 분할 모델 계획 및 구현

  • 아티클

 

적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

마지막으로 수정된 항목: 2008-02-05

사용 권한 분할 모델을 구현하는 조직은 일반적으로 관리자에게 부여되는 특정 사용 권한을 제한하여 책임을 높이고 보안을 강화하려고 합니다. Microsoft Exchange Server 2007에서 Exchange 받는 사람 특성에 대한 사용 권한은 그룹화됩니다. 그러면 Exchange 사용 권한을 다른 관리 사용 권한에서 분할하기 위해 수행해야 하는 수동 사용 권한 구성 작업이 최소화됩니다.

기본적으로 Exchange 조직 관리자만 Exchange 받는 사람 및 구성 데이터를 모두 관리할 수 있습니다. 그러나 특정 도메인 내의 개체 생성, 수정 및 삭제를 관리하기 위해 해당 관리자는 Windows Account Operators 보안 그룹 또는 그 이상 수준의 보안 그룹 구성원이기도 해야 합니다. Account Operators 사용 권한을 부여하는 방법에 대한 자세한 내용은 Windows Server 2003 Product Help를 참조하십시오.

액세스 제어

포리스트의 도메인 명명 컨텍스트 내에서 개체에 대한 Exchange 관련 특성을 관리하려면 Exchange Server 관리자 그룹에 수정 권한이 부여되어야 합니다. 이렇게 하려면 해당 특성을 갖는 개체의 보안 설명자를 변경합니다.

보안 설명자에는 두 가지 ACL(액세스 제어 목록)이 들어 있습니다. ACL은 리소스 또는 개체에 대한 액세스 권한이 있거나 액세스 권한이 거부된 사용자 또는 보안 그룹 개체 목록입니다. ACL을 통해 전체 개체, 개체의 속성 모음 또는 개체의 개별 속성에 특정 사용 권한을 적용할 수 있습니다. 다음 두 가지 유형의 ACL이 개체의 보안 설명자에 포함되어 있습니다.

  • DACL(임의 액세스 제어 목록) DACL은 개체에 대한 액세스 권한이 할당되었거나 거부된 사용자 및 그룹을 결정합니다. DACL에 사용자 또는 해당 사용자가 구성원으로 속하는 그룹이 명시적으로 확인되지 않으면 해당 사용자의 개체 액세스 권한이 거부됩니다. 기본적으로 DACL은 개체의 소유자 또는 개체를 만든 사람에 의해 제어되며 개체에 대한 사용자 액세스 권한을 결정하는 ACE(액세스 제어 항목)를 포함합니다.

  • SACL(시스템 액세스 제어 목록) SACL은 개체에 성공적으로 액세스할 때나 개체에 액세스할 수 없을 때를 감사하려는 사용자 및 그룹을 결정합니다. 기본적으로 SACL은 개체의 소유자 또는 개체를 만든 사람에 의해 제어됩니다. SACL에는 모든 권한 및 읽기와 같은 특정 사용 권한을 사용하는 사용자의 성공한 개체 액세스 시도를 기록할지 또는 실패한 개체 액세스 시도를 기록할지를 결정하는 ACE가 포함되어 있습니다.

ACE는 사용자나 그룹에 사용 권한을 부여하는 개체의 DACL 항목입니다. 또한 사용자나 그룹에 대해 감사할 보안 이벤트를 지정하는 개체의 SACL 항목이기도 합니다.

사용 권한을 적용하는 위치

Active Directory 디렉터리 서비스 포리스트는 일반 구성 및 스키마 경계를 공유하는 하나 이상의 도메인으로 구성됩니다. 해당 도메인 내에서 개체는 OU(조직 구성 단위)로 알려진 컨테이너로 정렬될 수도 있습니다. 각 조직의 관리자는 조직의 요구를 만족하며 관리 권한의 위임을 최적화하는 OU 구조를 디자인해야 합니다.

OU 구조 디자인 방법에 대한 자세한 내용은 Best Practice Active Directory Design for Managing Windows NetworksBest Practices for Delegating Active Directory Administration을 참조하십시오.

위임 모델을 디자인할 때는 몇 가지 방법에 따라 사용 권한을 적용할 수 있습니다. 이 항목에서는 다음 두 가지 방법에 대해서만 설명합니다.

  • 도메인 수준에서 사용 권한 적용

  • OU 수준에서 사용 권한 적용

도메인 수준에서 사용 권한 적용

위임된 사용 권한을 도메인 수준에서 적용하면 모든 개체에 사용 권한이 상속됩니다. 이러한 개체에는 사용자, 연락처, 그룹, 도메인 DNS 및 컨테이너가 포함됩니다. Microsoft Windows 2000 Server가 실행되는 도메인 컨트롤러의 경우 도메인 수준에서 상속 가능한 ACE를 추가하면 도메인 내의 각 개체에 대한 DACL이 변경됩니다. 이러한 변경은 추가되는 ACE의 수와 도메인 내의 개체 수에 따라 ACL 팽창을 가져올 수 있습니다. ACL 팽창은 개체의 불필요한 ACE로 인해 ACL 크기가 늘어나는 것을 의미합니다. ACL 팽창은 도메인 내의 모든 도메인 컨트롤러에서 Ntds.dit 파일의 실제 크기를 증가시킵니다. 이로 인해 Active Directory 성능 문제가 발생할 수 있습니다.

Microsoft Windows Server 2003이 실행되는 도메인 컨트롤러의 경우 고유한 보안 설명자가 상속되는 모든 개체에 대해 저장되지 않고 한 번만 저장됩니다. 이로 인해 데이터 중복성 및 상속 가능한 ACE의 변경에 따른 데이터베이스 크기 증가가 줄어듭니다.

OU 수준에서 사용 권한 적용

권장되는 사용 권한 적용 방법은 상위 OU에서 사용 권한을 적용하는 것입니다. 이렇게 하면 OU 및 해당 하위 컨테이너에 포함되어 있는 특정 클래스 개체에만 사용 권한이 적용됩니다. 이 방법을 사용하려면 관리되는 모든 개체를 상위 OU에 추가해야 합니다. 비즈니스 요구 사항 때문에 조직에서 이 방법을 적용하기 어려울 수 있습니다. 이러한 경우 여러 OU에 사용 권한을 적용할 수 있습니다.

사용 권한을 적용하는 방법

Microsoft에서는 사용 권한을 적용할 수 있는 다음 두 가지 도구를 제공합니다.

  • ADSI 편집(AdsiEdit.msc)

  • DSACLS(Dsacls.exe)

두 도구는 Windows Server 2003 CD의 Support\Tools에 포함되어 있습니다. 타사 제품을 사용하여 사용 권한을 적용할 수도 있습니다.

참고

ADSI(Active Directory 서비스 인터페이스) 편집, DSACLS, LDP(Ldp.exe) 도구 또는 다른 LDAP(Lightweight Directory Access Protocol) 버전 3 클라이언트를 사용할 때 Active Directory 개체 특성을 잘못 수정하면 문제가 발생할 수도 있습니다. 이러한 문제를 해결하려면 Windows Server, Exchange 2007 또는 두 가지 프로그램을 모두 다시 설치해야 할 수 있습니다. Active Directory 개체 특성을 수정하여 발생하는 모든 문제에 대한 책임은 사용자에게 있습니다.

ADSI 편집 사용 방법에 대한 자세한 내용은 How to Use ADSI Edit to Apply Permissions를 참조하십시오.

Exchange 2007에서 권장되는 사용 권한 적용 방법은 Exchange 관리 셸에서 Add-ADPermission cmdlet를 사용하는 것입니다. 자세한 내용은 Add-ADPermission을 참조하십시오. Exchange 관리 셸에 대한 자세한 내용은 Exchange 관리 셸 사용을 참조하십시오.

사용 권한 적용 방법의 예

Exchange 2007에 구현된 속성 집합 때문에 사용 권한 분할 모델을 구현하려면 이전 버전의 Exchange Server 경우보다 더 적은 ACE가 필요합니다.

Exchange 2007 관리자는 모든 메일 관련 속성을 관리하려면 도메인 파티션 내에서 다음 사용 권한이 있어야 합니다.

  • 다음 속성 집합에 대한 쓰기 액세스 권한:

    • Exchange 개인 정보

    • Exchange 정보

  • 다음 특성에 대한 쓰기 액세스 권한:

    • legacyExchangeDN

    • displayName

    • adminDisplayName

    • displayNamePrintable

    • publicDelegates

    • garbageCollPeriod

    • textEncodedORAddress

    • showInAddressBook

    • proxyAddresses

    • mail

  • msExchDynamicDistributionList 개체에 대한 만들기 권한

  • msExchDynamicDistributionList 개체에 대한 삭제 권한

  • msExchDynamicDistributionList 개체에 대한 모든 권한

  • 일반 읽기 권한. 여기에는 읽기 권한, 내용 보기, 개체 보기 및 모든 속성 읽기 권한이 포함됩니다.

이러한 사용 권한 이외에도 받는 사람 관리자는 Exchange 조직에서 다음 사용 권한이 있어야 합니다.

  • Exchange 보기 권한만 있는 관리자 역할 이상

    참고

    사서함 이동과 같은 특정 작업을 수행하려면 Exchange Server 관리자 역할 이상이 필요합니다.

  • Exchange 조직에 있는 주소 목록 컨테이너의 msExchLastAppliedRecipientFiltermsExchRecipientFilterFlags 특성에 대한 쓰기 액세스 권한. 받는 사람 관리자가 Update-AddressList cmdlet를 실행하려면 이러한 사용 권한이 필요합니다.

  • Exchange 조직에 있는 받는 사람 정책 컨테이너의 msExchLastAppliedRecipientFiltermsExchRecipientFilterFlags 특성에 대한 쓰기 액세스 권한. 받는 사람 관리자가 Update-EmailAddressPolicy cmdlet를 실행하려면 이러한 사용 권한이 필요합니다.

  • Exchange 2007 관리 그룹에 대한 받는 사람 업데이트 서비스 액세스의 확장된 권한. 이 확장된 권한은 Exchange 2007에서 구축 프로세스 동안 주소 관련 정보가 받는 사람에 스탬프 처리되므로 필요합니다.

참고

이러한 사용 권한은 Exchange 관련 특성을 관리하는 데 필요합니다. Exchange 관리자는 해당 사용 권한을 위임받지 않는 한 Exchange 외부에서 만들어진 특성을 관리할 수 없습니다.

Exchange 관리 셸을 사용하여 사용 권한을 적용하는 방법

이 섹션에서는 Exchange 관리 셸을 사용하여 사용 권한을 위임하는 방법을 보여줍니다.

이 예의 명령을 사용하여 OU1AdminGroup 보안 그룹의 관리자는 받는 사람이 메일을 사용할 수 있도록 하거나 사용할 수 없도록 하고 전자 메일 주소를 관리하며, ContosoOrg Exchange 조직을 포함하는 Contoso.com 포리스트의 Container1 OU 계층 구조에 있는 모든 사용자, 그룹 및 연락처의 이름을 표시할 수 있습니다.

조직에서 이러한 작업을 수행하려면 액세스 권한을 부여하려는 각 컨테이너에 대해 다음 명령을 실행합니다. 도메인 이름, Exchange 조직 및 액세스 정보를 사용자의 도메인 정보로 바꿉니다.

사용 권한을 부여하려면 다음 명령을 제시된 순서대로 실행해야 합니다.

  1. OU 내의 개체에 대한 Exchange 관련 특성을 관리하려면 다음 명령을 실행합니다.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights ReadProperty, WriteProperty -Properties Exchange-Information, Exchange-Personal-Information, legacyExchangeDN, displayName, adminDisplayName, displayNamePrintable, publicDelegates, garbageCollPeriod, textEncodedORAddress, showInAddressBook, proxyAddresses, mail

  2. OU 내의 모든 개체에 대해 일반 읽기 권한을 제공하려면 다음 명령을 실행합니다.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericRead

  3. OU 내의 동적 메일 그룹을 관리하는 데 필요한 사용 권한을 부여하려면 다음 명령을 실행합니다.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -InheritanceType Descendents -InheritedObjectType msExchDynamicDistributionList
Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights CreateChild, DeleteChild -ChildObjectTypes msExchDynamicDistributionList

    Exchange 2007 SP1(서비스 팩 1)의 경우, 다음 명령을 실행합니다.

    ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -ChildObjectTypes msExchDynamicDistributionList

  4. 받는 사람 업데이트 서비스에 액세스하기 위한 확장된 권한을 OU1AdminGroup 보안 그룹에 부여하려면 다음 명령을 실행합니다.

    Add-ADPermission -Identity "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Contoso\OU1AdminGroup " -InheritedObjectType ms-Exch-Exchange-Server -ExtendedRights ms-Exch-Recipient-Update-Access -InheritanceType Descendents

  5. 주소 목록 및 전자 메일 주소 정책을 업데이트하는 능력을 OU1AdminGroup 보안 그룹에 부여하려면 다음 명령을 실행합니다.

    Add-ADPermission -Identity "CN=Address Lists Container,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags
Add-ADPermission -Identity "CN=Recipient Policies,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags

작업이 성공적으로 수행되면 각 명령은 개체에 추가된 ACE를 출력합니다.

DSACLS를 사용하여 사용 권한을 적용하는 방법

이 섹션에서는 DSACLS(Dsacls.exe)를 사용하여 사용 권한을 적용하는 방법을 보여줍니다.

DSACLS는 Active Directory 개체의 사용 권한 및 보안 특성을 쿼리 및 변경하는 데 사용할 수 있는 명령줄 도구입니다. DSACLS는 Windows Server 2003 지원 도구에 포함되어 있습니다. 또한 Active Directory 사용자 및 컴퓨터, Active Directory 사이트 및 서비스와 같은 Windows 2000 Server Active Directory 스냅인 도구의 보안 탭과 동등한 명령줄이기도 합니다.

이 예의 명령을 사용하여 OU1AdminGroup 보안 그룹의 관리자는 받는 사람이 메일을 사용할 수 있도록 하거나 사용할 수 없도록 하고 전자 메일 주소를 관리하며, ContosoOrg Exchange 조직을 포함하는 Contoso.com 포리스트의 OUContainer1 OU 계층 구조에 있는 모든 사용자, 그룹 및 연락처의 이름을 표시할 수 있습니다.

참고

DSACLS는 대/소문자를 구분합니다. 모든 문자가 글자 그대로 전달되므로 DSACLS에 전달하는 구문은 정확해야 합니다. 여기에는 공백 및 캐리지 리턴이 포함됩니다. DSACLS에서 오류가 발생하면 명령을 검토하여 올바른지 확인하거나 명령을 더 작은 몇 개의 세그먼트로 나눕니다. DSACLS를 사용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 281146, How to Use Dsacls.exe in Windows Server 2003 and Windows 2000을 참조하십시오.

사용 권한을 부여하려면 다음 명령을 제시된 순서대로 실행해야 합니다.

  1. 도메인 관리자와 같이 작업을 수행할 수 있는 계정을 사용하여 Windows 지원 도구가 설치된 포리스트 내의 컴퓨터로 로그온합니다. 도메인 이름, Exchange 조직 및 계정 정보를 사용자의 도메인 정보로 바꿉니다.

  2. 명령 프롬프트 창을 열고 다음 명령을 입력하여 OU 내의 개체에 대한 Exchange 관련 특성을 관리합니다.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:T /G "Contoso\OU1AdminGroup:RPWP;legacyExchangeDN" "Contoso\OU1AdminGroup:RPWP;displayName" "Contoso\OU1AdminGroup:RPWP;adminDisplayName" "Contoso\OU1AdminGroup:RPWP;displayNamePrintable" "Contoso\OU1AdminGroup:RPWP;publicDelegates" "Contoso\OU1AdminGroup:RPWP;garbageCollPeriod" "Contoso\OU1AdminGroup:RPWP;textEncodedORAddress" "Contoso\OU1AdminGroup:RPWP;showInAddressBook" "Contoso\OU1AdminGroup:RPWP;proxyAddresses" "Contoso\OU1AdminGroup:RPWP;mail" "Contoso\OU1AdminGroup:RPWP;Exchange Personal Information" "Contoso\OU1AdminGroup:RPWP;Exchange Information" "Contoso\OU1AdminGroup:CCDC;msExchDynamicDistributionList" "Contoso\OU1AdminGroup:GR;"

  3. 명령 프롬프트 창을 열고 다음 명령을 입력하여 OU 내의 동적 메일 그룹을 관리하기 위한 적절한 권한을 부여합니다.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:GA;; msExchDynamicDistributionList"

  4. 명령 프롬프트 창을 열고 다음 명령을 입력하여 받는 사람 업데이트 서비스에 액세스하기 위한 확장된 권한을 OU1AdminGroup 보안 그룹에 부여합니다.

    dsacls "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:CA;Access Recipient Update Service;msExchExchangeServer"

  5. 명령 프롬프트 창을 열고 다음 명령을 입력하여 주소 목록 및 전자 메일 주소 정책을 업데이트하는 능력을 OU1AdminGroup 보안 그룹에 부여합니다.

    dsacls "CN=Address Lists Container, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"
dsacls "CN=Recipient Policies, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"

작업이 성공적으로 수행되면 수정된 Windows 보안 설명자가 출력되고 명령 프롬프트에 The command completed successfully가 표시됩니다.

사용 권한 분할 구성 스크립트

\Exchange Server\Scripts 디렉터리에는 사용 권한 분할 모델을 구성할 수 있는 스크립트가 있습니다.

Exchange 관리 셸을 사용하여 다음 스크립트를 실행할 수 있습니다.

  • ConfigureSplitPerms.ps1   ConfigureSplitPerms.ps1 스크립트를 사용하여 이 항목에서 설명된 필요한 사용 권한을 구성할 수 있습니다.

스크립팅에 대한 자세한 내용은 Exchange 관리 셸 사용을 참조하십시오.

자세한 내용

사용 권한 분할, Exchange 관련 특성 및 사용자, 연락처 및 그룹 관련 작업에 대한 자세한 내용은 사용 권한 분할 모델 참조을 참조하십시오.