액세스 제어 개요

이 문서에서는 사용자, 그룹 및 컴퓨터가 네트워크 또는 컴퓨터의 개체에 액세스할 수 있도록 권한을 부여하는 프로세스인 Windows의 액세스 제어에 대해 설명합니다. 액세스 제어를 구성하는 주요 개념은 다음과 같습니다.

  • 권한을
  • 개체 소유권
  • 사용 권한 상속
  • 사용자 권한
  • 개체 감사

지원되는 버전의 Windows를 실행하는 컴퓨터는 상호 연관된 인증 및 권한 부여 메커니즘을 통해 시스템 및 네트워크 리소스 사용을 제어할 수 있습니다. 사용자가 인증된 후 Windows 운영 체제는 기본 제공 권한 부여 및 액세스 제어 기술을 사용하여 리소스 보호의 두 번째 단계를 구현합니다. 인증된 사용자에게 리소스에 액세스할 수 있는 올바른 권한이 있는지 확인합니다.

공유 리소스는 리소스 소유자가 아닌 사용자 및 그룹에서 사용할 수 있으며 무단 사용으로부터 보호해야 합니다. 액세스 제어 모델에서 사용자 및 그룹(보안 주체라고도 함)은 고유한 SID(보안 식별자)로 표시됩니다. 각 사용자와 그룹이 수행할 수 있는 작업을 운영 체제에 알리는 권한과 권한이 할당됩니다. 각 리소스에는 보안 주체에 권한을 부여하는 소유자가 있습니다. 액세스 제어 검사 중에 이러한 권한을 검사하여 리소스에 액세스할 수 있는 보안 주체와 리소스에 액세스할 수 있는 방법을 확인합니다.

보안 주체는 개체에 대해 작업(읽기, 쓰기, 수정 또는 모든 권한 포함)을 수행합니다. 개체에는 파일, 폴더, 프린터, 레지스트리 키 및 AD DS(Active Directory Domain Services) 개체가 포함됩니다. 공유 리소스는 ACL(액세스 제어 목록)을 사용하여 권한을 할당합니다. 이렇게 하면 리소스 관리자가 다음과 같은 방법으로 액세스 제어를 적용할 수 있습니다.

  • 권한이 없는 사용자 및 그룹에 대한 액세스 거부
  • 권한 있는 사용자 및 그룹에 제공되는 액세스에 대해 잘 정의된 제한 설정

개체 소유자는 일반적으로 개별 사용자가 아닌 보안 그룹에 권한을 부여합니다. 기존 그룹에 추가된 사용자 및 컴퓨터는 해당 그룹의 사용 권한을 가정합니다. 개체(예: 폴더)가 다른 개체(예: 하위 폴더 및 파일)를 보유할 수 있는 경우 컨테이너라고 합니다. 개체의 계층 구조에서 컨테이너와 해당 콘텐츠 간의 관계는 컨테이너를 부모로 참조하여 표현됩니다. 컨테이너의 개체를 자식이라고 하며 자식은 부모의 액세스 제어 설정을 상속합니다. 개체 소유자는 액세스 제어 관리를 용이하게 하기 위해 개별 자식 개체가 아닌 컨테이너 개체에 대한 권한을 정의하는 경우가 많습니다.

이 콘텐츠 집합에는 다음이 포함됩니다.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 Access Control(ACL/SACL)을 지원하는 Windows 버전이 나와 있습니다.

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

Access Control(ACL/SACL) 라이선스 자격은 다음 라이선스에 의해 부여됩니다.

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

유용한 팁

지원되는 버전의 Windows를 사용하는 관리자는 개체 및 주체에 대한 액세스 제어의 애플리케이션 및 관리를 구체화하여 다음 보안을 제공할 수 있습니다.

  • 더 많은 수의 다양한 네트워크 리소스를 오용으로부터 보호합니다.
  • 조직 정책 및 작업 요구 사항과 일치하는 방식으로 리소스에 액세스하도록 사용자 프로비전
  • 사용자가 다양한 위치의 다양한 디바이스에서 리소스에 액세스할 수 있도록 설정
  • organization 정책이 변경되거나 사용자의 작업이 변경됨에 따라 정기적으로 리소스에 액세스하는 사용자의 기능 업데이트
  • 점점 더 많은 사용 시나리오(예: 원격 위치 또는 태블릿 컴퓨터 및 휴대폰과 같은 빠르게 확장되는 다양한 장치에서 액세스)를 고려합니다.
  • 합법적인 사용자가 작업을 수행하는 데 필요한 리소스에 액세스할 수 없는 경우 액세스 문제 식별 및 resolve

사용 권한

사용 권한은 개체 또는 개체 속성에 대해 사용자 또는 그룹에 부여되는 액세스 유형을 정의합니다. 예를 들어 finance 그룹에 Payroll.dat 파일에 대한 읽기 및 쓰기 권한을 부여할 수 있습니다.

액세스 제어 사용자 인터페이스를 사용하여 파일, Active Directory 개체, 레지스트리 개체 또는 프로세스와 같은 시스템 개체와 같은 개체에 대한 NTFS 권한을 설정할 수 있습니다. 모든 사용자, 그룹 또는 컴퓨터에 권한을 부여할 수 있습니다. 개체에 대한 액세스를 확인할 때 시스템 성능이 향상되므로 그룹에 권한을 할당하는 것이 좋습니다.

모든 개체에 대해 다음을 수행할 수 있는 권한을 부여할 수 있습니다.

  • 도메인에 보안 식별자가 있는 그룹, 사용자 및 기타 개체입니다.
  • 해당 도메인 및 신뢰할 수 있는 도메인의 그룹 및 사용자
  • 개체가 있는 컴퓨터의 로컬 그룹 및 사용자입니다.

개체에 연결된 사용 권한은 개체의 형식에 따라 달라집니다. 예를 들어 파일에 연결할 수 있는 권한은 레지스트리 키에 연결할 수 있는 권한과 다릅니다. 그러나 일부 권한은 대부분의 개체 유형에 공통적으로 적용됩니다. 이러한 일반적인 권한은 다음과 같습니다.

  • Read
  • 수정
  • 소유자 변경
  • 삭제

사용 권한을 설정할 때 그룹 및 사용자에 대한 액세스 수준을 지정합니다. 예를 들어 한 사용자가 파일의 내용을 읽도록 하고, 다른 사용자가 파일을 변경하도록 하고, 다른 모든 사용자가 파일에 액세스하지 못하도록 할 수 있습니다. 특정 사용자가 프린터를 구성할 수 있고 다른 사용자만 인쇄할 수 있도록 프린터에 대해 유사한 권한을 설정할 수 있습니다.

파일에 대한 권한을 변경해야 하는 경우 Windows Explorer 실행하고 파일 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택할 수 있습니다. 보안 탭에서 파일에 대한 권한을 변경할 수 있습니다. 자세한 내용은 권한 관리를 참조하세요.

참고

공유 권한이라는 또 다른 종류의 권한은 폴더 의 속성 페이지의 공유 탭 또는 공유 폴더 마법사를 사용하여 설정됩니다. 자세한 내용은 파일 서버에 대한 공유 및 NTFS 권한을 참조하세요.

개체 소유권

해당 개체를 만들 때 소유자가 개체에 할당됩니다. 기본적으로 소유자는 개체의 작성자입니다. 개체에 대해 설정된 사용 권한에 관계없이 개체 소유자는 항상 사용 권한을 변경할 수 있습니다. 자세한 내용은 개체 소유권 관리를 참조하세요.

사용 권한 상속

상속을 통해 관리자는 권한을 쉽게 할당하고 관리할 수 있습니다. 이 기능을 사용하면 컨테이너 내의 개체가 해당 컨테이너의 상속 가능한 모든 권한을 자동으로 상속합니다. 예를 들어 폴더 내의 파일은 폴더의 사용 권한을 상속합니다. 상속된 것으로 표시된 권한만 상속됩니다.

사용자 권한

사용자 권한은 컴퓨팅 환경의 사용자 및 그룹에 특정 권한 및 로그인 권한을 부여합니다. 관리자는 그룹 계정 또는 개별 사용자 계정에 특정 권한을 할당할 수 있습니다. 이러한 권한은 사용자에게 대화형으로 시스템에 로그인하거나 파일 및 디렉터리 백업과 같은 특정 작업을 수행할 수 있는 권한을 부여합니다.

사용자 권한은 사용자 계정에 적용되고 권한은 개체와 연결되기 때문에 사용 권한과 다릅니다. 사용자 권한은 개별 사용자 계정에 적용할 수 있지만 사용자 권한은 그룹 계정별로 가장 잘 관리됩니다. 액세스 제어 사용자 인터페이스에는 사용자 권한을 부여하는 지원이 없습니다. 그러나 로컬 보안 설정을 통해 사용자 권한 할당을 관리할 수 있습니다.

사용자 권한에 대한 자세한 내용은 사용자 권한 할당을 참조하세요.

개체 감사

관리자의 권한으로 개체에 대한 사용자의 액세스 성공 또는 실패를 감사할 수 있습니다. 액세스 제어 사용자 인터페이스를 사용하여 감사할 개체 액세스를 선택할 수 있지만, 먼저 로컬 보안 설정로컬 정책에서 감사 개체 액세스를 선택하여 감사 정책을 사용하도록 설정해야 합니다. 그런 다음 이벤트 뷰어 보안 로그에서 이러한 보안 관련 이벤트를 볼 수 있습니다.

감사에 대한 자세한 내용은 보안 감사 개요를 참조하세요.

참고 항목

액세스 제어 및 권한 부여에 대한 자세한 내용은 Access Control 및 권한 부여 개요를 참조하세요.