Active Directory 보안 그룹
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
기본 Active Directory 보안 그룹, 그룹 범위 및 그룹 함수에 대해 알아봅니다.
Active Directory의 보안 그룹이란?
Active Directory에는 사용자 계정 및 컴퓨터 계정이라는 두 가지 형태의 일반적인 보안 주체가 있습니다. 이러한 계정은 개인 또는 컴퓨터인 물리적 엔터티를 나타냅니다. 사용자 계정은 일부 애플리케이션에 대한 전용 서비스 계정으로 사용할 수도 있습니다.
보안 그룹은 사용자 계정, 컴퓨터 계정 및 기타 그룹을 관리 가능한 단위로 수집하는 방법입니다.
Windows Server 운영 체제에서 몇 가지 기본 제공 계정 및 보안 그룹은 특정 작업을 수행할 수 있는 적절한 권한과 권한으로 미리 구성됩니다. Active Directory에서 관리 책임은 두 가지 유형의 관리자로 구분됩니다.
서비스 관리자: 기본기본 컨트롤러 관리 및 AD DS 구성을 포함하여 AD DS(Active Directory 도메인 Services)를 획득하고 제공하는 일을 담당합니다.
데이터 관리자: 기본 AD DS 및 기본 멤버 서버 및 워크스테이션에 저장된 데이터 수집을 담당합니다.
Active Directory 보안 그룹의 작동 방식
그룹을 사용하여 사용자 계정, 컴퓨터 계정 및 기타 그룹을 관리 가능한 단위로 수집합니다. 개별 사용자 대신 그룹으로 작업하면 네트워크 기본 테넌트 및 관리를 간소화할 수 있습니다.
Active Directory에는 다음 두 가지 유형의 그룹이 있습니다.
보안 그룹: 공유 리소스에 권한을 할당하는 데 사용합니다.
메일 그룹: 메일 메일 그룹을 만드는 데 사용합니다.
보안 그룹
보안 그룹은 네트워크의 리소스에 대한 액세스를 할당하는 효율적인 방법을 제공할 수 있습니다. 보안 그룹을 사용하여 다음을 수행할 수 있습니다.
Active Directory의 보안 그룹에 사용자 권한을 할당합니다.
보안 그룹에 사용자 권한을 할당하여 해당 그룹의 구성원이 할 일기본 또는 포리스트 범위 내에서 수행할 수 있는 작업을 결정합니다. 관리자가 할 일기본 사용자의 관리 역할을 정의할 수 있도록 Active Directory가 설치될 때 사용자 권한이 일부 보안 그룹에 자동으로 할당됩니다.
예를 들어 Active Directory의 Backup Operators 그룹에 추가하는 사용자는 할 일기본 컨트롤러에 있는 파일 및 디렉터리를 백업하고 복원할 수 있습니다기본. 기본적으로 사용자 권한 Backup 파일 및 디렉터리 및 복원 파일 및 디렉터리 백업 연산자 그룹에 자동으로 할당되므로 사용자는 이러한 작업을 완료할 수 있습니다. 따라서 이 그룹의 구성원은 해당 그룹에 할당된 사용자 권한을 상속합니다.
그룹 정책을 사용하여 보안 그룹에 사용자 권한을 할당하여 특정 작업을 위임할 수 있습니다. 그룹 정책 사용에 대한 자세한 내용은 사용자 권한 할당을 참조 하세요.
리소스에 대한 보안 그룹에 권한을 할당합니다.
사용 권한은 사용자 권한과 다릅니다. 사용 권한은 공유 리소스에 대한 보안 그룹에 할당됩니다. 권한은 리소스에 액세스할 수 있는 사용자와 액세스 수준(예: 모든 권한 또는 읽기)을 결정합니다. do기본 개체에 설정된 일부 권한은 계정 운영자 그룹 또는 Do기본 관리s 그룹과 같은 기본 보안 그룹에 대한 다양한 수준의 액세스를 허용하도록 자동으로 할당됩니다.
보안 그룹은 리소스 및 개체에 대한 권한을 정의하는 DCL(임의 액세스 제어 목록)에 나열됩니다. 관리자는 파일 공유 또는 프린터와 같은 리소스에 대한 권한을 할당할 때 개별 사용자가 아닌 보안 그룹에 해당 권한을 할당해야 합니다. 사용 권한은 각 개별 사용자에게 여러 번 할당되는 대신 그룹에 한 번 할당됩니다. 그룹에 추가된 각 계정은 Active Directory에서 해당 그룹에 할당된 권한을 받습니다. 사용자는 해당 그룹에 대해 정의된 권한을 받습니다.
보안 그룹을 전자 메일 엔터티로 사용할 수 있습니다. 보안 그룹에 전자 메일 메시지를 보내면 그룹의 모든 구성원에게 메시지를 보냅니다.
메일 그룹
메일 그룹을 사용하여 Exchange Server와 같은 전자 메일 애플리케이션을 사용하여 사용자 컬렉션에 전자 메일을 보낼 수 있습니다. 배포 그룹은 보안을 사용할 수 없으므로 DACL에 포함할 수 없습니다.
Group scope
각 그룹에는 do기본 트리 또는 포리스트에 그룹이 적용되는 범위를 식별하는 범위가 있습니다. 그룹의 범위는 그룹에 대한 네트워크 사용 권한을 부여할 수 있는 위치를 정의합니다. Active Directory는 다음 세 가지 그룹 범위를 정의합니다.
유니버설
전역
Do기본 Local
참고 항목
이러한 세 가지 범위 외에도 Builtin 컨테이너의 기본 그룹에는 Builtin Local의 그룹 범위가 있습니다. 이 그룹 범위 및 그룹 형식은 변경할 수 없습니다.
다음 표에서는 세 가지 그룹 범위 및 보안 그룹으로 작동하는 방법에 대해 설명합니다.
| Scope | 가능한 멤버 | 범위 변환 | 사용 권한을 부여할 수 있습니다. | 의 가능한 멤버 |
|---|---|---|---|---|
| 유니버설 | 동일한 포리스트에 있는 모든 할 일기본 계정 동일한 포리스트의 모든 할 일기본 전역 그룹 동일한 포리스트에 있는 모든 할 일기본 다른 유니버설 그룹 |
그룹이 다른 유니버설 그룹의 구성원이 아닌 경우 Do기본 로컬 범위로 변환할 수 있습니다. 그룹에 다른 유니버설 그룹이 없는 경우 전역 범위로 변환할 수 있습니다. |
동일한 포리스트 또는 트러스트 포리스트의 기본 | 동일한 포리스트의 다른 유니버설 그룹 동일한 포리스트 또는 트러스트 포리스트의 로컬 그룹 기본 동일한 포리스트 또는 트러스트 포리스트에 있는 컴퓨터의 로컬 그룹 |
| 전역 | 동일한 계정도 마찬가지입니다기본 동일한 대상의 다른 전역 그룹도 마찬가지입니다기본 |
그룹이 다른 전역 그룹의 구성원이 아닌 경우 유니버설 범위로 변환할 수 있습니다. | 동일한 포리스트의 모든 작업기본 또는 do기본 또는 포리스트 신뢰 | 동일한 포리스트에 있는 모든 할 일기본 유니버설 그룹 동일한 대상의 다른 전역 그룹도 마찬가지입니다기본 동일한 포리스트의 do기본 또는 신뢰할 수 있는 모든 do에서 로컬 그룹을 기본기본 |
| Do기본 Local | 할 일기본 또는 신뢰할 수 있는 할 일의 계정기본 할 일기본 또는 신뢰할 수 있는 모든 할 일의 전역 그룹입니다기본 동일한 포리스트에 있는 모든 할 일기본 유니버설 그룹 다른 Do기본 동일한 do의 로컬 그룹입니다기본 다른 포리스트 및 외부 do기본의 계정, 전역 그룹 및 유니버설 그룹 |
그룹에 다른 Do기본 로컬 그룹이 없는 경우 유니버설 범위로 변환할 수 있습니다. | 동일한 작업 내에서 수행합니다기본 | 다른 Do기본 동일한 do의 로컬 그룹입니다기본 동일한 do기본 컴퓨터의 로컬 그룹(잘 알려진 SID(보안 식별자)이 있는 기본 제공 그룹 제외 |
특수 ID 그룹
특수 ID를 그룹이라고 합니다. 특수 ID 그룹에는 수정할 수 있는 특정 멤버 자격이 없지만 상황에 따라 서로 다른 시간에 다른 사용자를 나타낼 수 있습니다. 이러한 그룹 중 일부는 작성자 소유자, Batch 및 인증된 사용자를 포함합니다.
자세한 내용은 특수 ID 그룹을 참조 하세요.
기본 보안 그룹
Do기본 관리s 그룹과 같은 기본 그룹은 Active Directory do기본 만들 때 자동으로 만들어지는 보안 그룹입니다. 이러한 미리 정의된 그룹을 사용하여 공유 리소스에 대한 액세스를 제어하고 특정 수행기본 전체 관리 역할을 위임할 수 있습니다.
대부분의 기본 그룹에는 로컬 시스템에 로그온하거나 파일 및 폴더를 백업하는 등 기본 특정 작업을 수행할 수 있도록 그룹 구성원에게 권한을 부여하는 사용자 권한 집합이 자동으로 할당됩니다. 예를 들어 백업 연산자 그룹의 멤버는 할 일기본 컨트롤러에 대해 할 일기본 모두에 대해 백업 작업을 수행할 수 있습니다.
그룹에 사용자를 추가하면 사용자는 공유 리소스에 대해 그룹에 할당된 모든 권한을 포함하여 그룹에 할당된 모든 사용자 권한을 받습니다.
기본 그룹은 기본 제공 컨테이너 및 Active Directory 사용자 및 컴퓨터 사용자 컨테이너에 있습니다. 기본 제공 컨테이너에는 Do기본 로컬 범위로 정의된 그룹이 포함됩니다. 사용자 컨테이너에는 전역 범위로 정의된 그룹 및 Do기본 로컬 범위로 정의된 그룹이 포함됩니다. 이러한 컨테이너에 있는 그룹을 do기본 내의 다른 그룹 또는 조직 구성 단위로 이동할 수 있지만 다른 do기본로 이동할 수는 없습니다.
이 문서에 나열된 관리 그룹 중 일부와 이러한 그룹의 모든 멤버는 특정 보안 설명자에 대해 주기적으로 검사 적용하는 백그라운드 프로세스로 보호됩니다. 이 설명자는 보호된 개체와 연결된 보안 정보를 포함하는 데이터 구조입니다. 이 프로세스는 관리 계정 또는 그룹 중 하나에서 보안 설명자를 수정하려는 무단 시도가 보호된 설정으로 덮어쓰여지도록 합니다.
보안 설명자는 관리SDHolder 개체에 있습니다. 서비스 관리자 그룹 또는 해당 멤버 계정 중 하나에 대한 사용 권한을 수정하려면 관리SDHolder 개체에서 보안 설명자를 수정하여 일관되게 적용해야 합니다. 보호된 모든 관리 계정에 적용되는 기본 설정도 변경하므로 수정할 때는 주의해야 합니다.
기본 Active Directory 보안 그룹
다음 목록에서는 Active Directory의 Builtin 및 Users 컨테이너에 있는 기본 그룹에 대한 설명을 제공합니다.
- Access Control 지원 연산자
- 계정 연산자
- 관리istrators
- 허용되는 RODC 암호 복제
- Backup 연산자
- 인증서 서비스 DCOM 액세스
- 인증서 게시자
- 복제 가능한 Do기본 컨트롤러
- 암호화 연산자
- RODC 암호 복제가 거부됨
- 디바이스 소유자
- DHCP 관리istrators
- DHCP 사용자
- 분산 COM 사용자
- Dnsupdateproxy
- Dns관리s
- Do기본 관리s
- 수행기본 컴퓨터
- Do기본 Controllers
- 할 일기본 게스트
- Do기본 Users
- 엔터프라이즈 관리
- Enterprise 키 관리
- Enterprise 읽기 전용 Do기본 컨트롤러
- 이벤트 로그 판독기
- 그룹 정책 작성자 소유자
- 게스트
- Hyper-V 관리istrators
- Iis_iusrs
- 들어오는 포리스트 트러스트 작성기
- 키 관리
- 네트워크 구성 연산자
- 성능 로그 사용자
- 성능 모니터 사용자
- Windows 2000 이전 호환 액세스
- 인쇄 연산자
- 보호된 사용자
- RAS 및 IAS 서버
- RDS 엔드포인트 서버
- RDS 관리 서버
- RDS 원격 액세스 서버
- 읽기 전용인 Do기본 컨트롤러
- 원격 데스크톱 사용자
- 원격 관리 사용자
- 복제기
- 스키마 관리
- 서버 연산자
- 스토리지 복제본 관리사용자
- 시스템 관리 계정
- 터미널 서버 라이선스 서버
- 사용자
- Windows 권한 부여 액세스
- WinRMRemoteWMIUsers_
Access Control Assistance Operators
이 그룹의 구성원은 컴퓨터의 리소스에 대한 권한 부여 특성 및 권한을 원격으로 쿼리할 수 있습니다.
Access Control Assistance Operators 그룹은 기본 Active Directory 보안 그룹 테이블에 나열된 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-579 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Account Operators
계정 운영자 그룹은 사용자에게 제한된 계정 만들기 권한을 부여합니다. 이 그룹의 구성원은 사용자, 로컬 그룹 및 전역 그룹에 대한 계정을 포함하여 대부분의 유형의 계정을 만들고 수정할 수 있습니다. 그룹 구성원은 컨트롤러를 기본 위해 로컬로 로그인할 수 있습니다.
계정 연산자 그룹의 구성원은 관리주체 사용자 계정, 관리자의 사용자 계정 또는 관리주체, 서버 운영자, 계정 운영자, 백업 연산자 또는 인쇄 연산자 그룹을 관리할 수 없습니다. 이 그룹의 구성원은 사용자 권한을 수정할 수 없습니다.
계정 운영자 그룹은 기본 Active Directory 보안 그룹 목록의 Windows Server 운영 체제에 적용됩니다.
참고 항목
기본적으로 이 기본 제공 그룹에는 멤버가 없습니다. 그룹은 자체 멤버 자격 및 서버 운영자 그룹의 구성원을 포함하여 do기본 사용자 및 그룹을 만들고 관리할 수 있습니다. 이 그룹은 서버 운영자를 수정할 수 있으므로 서비스 관리자 그룹으로 간주됩니다. 그러면 do기본 컨트롤러 설정을 수정할 수 있습니다. 이 그룹의 멤버 자격은 비워 두고 위임된 관리에 사용하지 않는 것이 가장 좋습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-548 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용: SeInteractiveLogonRight |
관리자
관리istrators 그룹의 구성원은 컴퓨터에 대한 완전하고 무제한 액세스 권한이 있습니다. 컴퓨터가 do기본 컨트롤러로 승격되는 경우 관리istrators 그룹의 구성원은 할 일기본 대한 무제한 액세스 권한을 가집니다.
관리istrators 그룹은 기본 Active Directory 보안 그룹 목록의 Windows Server 운영 체제에 적용됩니다.
참고 항목
관리istrators 그룹에는 멤버가 시스템을 완전히 제어할 수 있는 기본 제공 기능이 있습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다. 이 기본 제공 그룹은 할 일기본 있는 모든 할 일기본 컨트롤러에 대한 액세스를 제어하며 모든 관리 그룹의 멤버 자격을 변경할 수 있습니다. 다음 그룹의 멤버는 관리istrators 그룹 멤버 자격을 수정할 수 있습니다. 기본 서비스 관리istrators, Do기본 관리s in the do기본 및 Enterprise 관리. 이 그룹에는 디렉터리에 있는 모든 개체 또는 할 일기본 컨트롤러의 리소스에 대한 소유권을 가져올 수 있는 특별한 권한이 있습니다. 이 계정은 구성원이 할 일기본 컨트롤러에 대한 모든 권한을 가지고 있기 때문에 서비스 관리자 그룹으로 간주됩니다기본.
이 보안 그룹에는 Windows Server 2008 이후 다음과 같은 변경 내용이 포함됩니다.
기본 사용자 권한 변경: 터미널 서비스를 통한 로그온 허용은 Windows Server 2008에 있었고 원격 데스크톱 서비스를 통해 로그온 허용으로 대체되었습니다.
Windows Server 2012 R2에서 도킹 스테이션 에서 컴퓨터를 제거했습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-544 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 관리istrator, Do기본 관리s, Enterprise 관리 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 프로세스에 대한 메모리 할당량 조정: SeIncreaseQuotaPrivilege 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight 로컬로 로그온 허용: SeInteractiveLogonRight 원격 데스크톱 서비스를 통해 로그온 허용: SeRemoteInteractiveLogonRight 파일 및 디렉터리 백업: SeBackupPrivilege 트래버스 검사 우회: SeChangeNotifyPrivilege 시스템 시간 변경: SeSystemTimePrivilege 표준 시간대 변경: SeTimeZonePrivilege 페이지 파일 만들기: SeCreatePagefilePrivilege 전역 개체 만들기: SeCreateGlobalPrivilege 기호 링크 만들기: SeCreateSymbolicLinkPrivilege 디버그 프로그램: SeDebugPrivilege 위임에 대해 컴퓨터 및 사용자 계정을 신뢰할 수 있도록 설정: SeEnableDelegationPrivilege 원격 시스템에서 강제 종료: SeRemoteShutdownPrivilege 인증 후 클라이언트 가장: SeImpersonatePrivilege 일정 우선 순위 늘리기: SeIncreaseBasePriorityPrivilege 디바이스 드라이버 로드 및 언로드: SeLoadDriverPrivilege 일괄 작업으로 로그온: SeBatchLogonRight 감사 및 보안 로그 관리: SeSecurityPrivilege 펌웨어 환경 값 수정: SeSystemEnvironmentPrivilege 볼륨 기본 테넌스 작업 수행: SeManageVolumePrivilege 프로필 시스템 성능: SeSystemProfilePrivilege 프로필 단일 프로세스: SeProfileSingleProcessPrivilege 도킹 스테이션에서 컴퓨터 제거: SeUndockPrivilege 파일 및 디렉터리 복원: SeRestorePrivilege 시스템 종료: SeShutdownPrivilege 파일 또는 기타 개체의 소유권 가져오기: SeTakeOwnershipPrivilege |
허용되는 RODC 암호 복제
이 보안 그룹의 목적은 RODC(읽기 전용 do기본 컨트롤러) 암호 복제본(replica)tion 정책을 관리하는 것입니다. 이 그룹에는 기본적으로 멤버가 없으며 새 RODC가 사용자 자격 증명을 캐시하지 않는다는 조건이 발생합니다. 거부된 RODC 암호 복제 그룹에는 다양한 높은 권한 계정 및 보안 그룹이 포함되어 있습니다. 거부된 RODC 암호 복제 그룹은 허용된 RODC 암호 복제 그룹을 대체합니다.
허용되는 RODC 암호 복제 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-571 |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Users DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Backup Operators
백업 연산자 그룹의 구성원은 해당 파일을 보호하는 사용 권한에 관계없이 컴퓨터의 모든 파일을 백업하고 복원할 수 있습니다. 백업 운영자는 컴퓨터에 로그온하여 종료할 수도 있습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다. 기본적으로 이 기본 제공 그룹에는 멤버가 없으며 do기본 컨트롤러에서 백업 및 복원 작업을 수행할 수 있습니다. 다음 그룹의 구성원은 Backup Operators 그룹 멤버 자격을 수정할 수 있습니다. 기본 서비스 관리istrators, do기본 관리s in the do기본 및 Enterprise 관리. Backup 연산자 그룹의 구성원은 관리 그룹의 멤버 자격을 수정할 수 없습니다. 이 그룹의 구성원은 서버 설정을 변경하거나 디렉터리의 구성을 수정할 수 없지만, 할 일기본 컨트롤러에서 파일(운영 체제 파일 포함)을 바꾸는 데 필요한 권한이 있습니다. 이 그룹의 구성원은 할 일기본 컨트롤러의 파일을 바꿀 수 있으므로 서비스 관리자로 간주됩니다.
Backup 연산자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-551 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용: SeInteractiveLogonRight 파일 및 디렉터리 백업: SeBackupPrivilege 일괄 작업으로 로그온: SeBatchLogonRight 파일 및 디렉터리 복원: SeRestorePrivilege 시스템 종료: SeShutdownPrivilege |
인증서 서비스 DCOM 액세스
이 그룹의 구성원은 엔터프라이즈의 인증 기관에 연결할 수 있습니다.
인증서 서비스 DCOM 액세스 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-do<기본>-574 |
| Type | Do기본 Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Cert Publishers
Cert Publishers 그룹의 구성원은 Active Directory에서 사용자 개체에 대한 인증서를 게시할 권한이 있습니다.
인증서 게시자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-517 |
| Type | Do기본 Local |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | RODC 암호 복제가 거부됨 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
복제 가능한 Do기본 컨트롤러
복제 가능한 Do기본 컨트롤러 그룹의 구성원이 복제될 수 기본 있습니다. Windows Server 2012 R2 및 Windows Server 2012에서는 기존 가상 do기본 컨트롤러를 복사하여 do기본 컨트롤러를 배포할 수 있습니다. 가상 환경에서는 더 이상 Sysprep.exe를 사용하여 준비된 서버 이미지를 반복적으로 배포하고, 서버를 do기본 컨트롤러로 승격한 다음, 각 do기본 컨트롤러를 배포하기 위한 추가 구성 요구 사항(이 보안 그룹에 가상 do기본 컨트롤러 추가 포함)을 완료할 필요가 없습니다.
자세한 내용은 AD DS(Active Directory Domain Services) 가상화 소개(수준 100)를 참조하십시오.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-522 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Cryptographic Operators
이 그룹의 구성원은 암호화 작업을 수행할 권한이 있습니다. 이 보안 그룹은 Windows Vista SP1(서비스 팩 1)에 추가되어 공통 조건 모드에서 IPsec용 Windows 방화벽을 구성했습니다.
암호화 연산자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
이 보안 그룹은 Windows Vista SP1에서 도입되었으며 후속 버전에서는 변경되지 않았습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-569 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
RODC 암호 복제가 거부됨
거부된 RODC 암호 복제 그룹의 구성원 암호는 RODC에 복제본(replica) 수 없습니다.
이 보안 그룹의 목적은 RODC 암호 복제본(replica)tion 정책을 관리하는 것입니다. 이 그룹에는 다양한 높은 권한 계정 및 보안 그룹이 포함되어 있습니다. 거부된 RODC 암호 복제 그룹은 허용된 RODC 암호 복제 그룹을 대체합니다.
이 보안 그룹에는 Windows Server 2008 이후 다음과 같은 변경 내용이 포함됩니다.
- Windows Server 2012에서 인증서 게시자를 포함 하도록 기본 멤버를 변경했습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-572 |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 인증서 게시자 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
디바이스 소유자
디바이스 소유자 그룹에 멤버가 없는 경우 이 보안 그룹에 대한 기본 구성을 변경하지 않는 것이 좋습니다. 기본 구성을 변경하면 이 그룹에 의존하는 향후 시나리오가 방해가 될 수 있습니다. 디바이스 소유자 그룹은 현재 Windows에서 사용되지 않습니다.
디바이스 소유자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-583 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 그룹을 이동할 수 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용: SeInteractiveLogonRight 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight 트래버스 검사 우회: SeChangeNotifyPrivilege 표준 시간대 변경: SeTimeZonePrivilege |
DHCP Administrators
DHCP 관리istrators 그룹의 구성원은 DHCP(동적 호스트 구성 프로토콜) 데이터베이스를 백업하고 복원할 수 있는 권한을 포함하여 서버 범위의 다양한 영역을 만들고 삭제하고 관리할 수 있습니다. 이 그룹에는 관리 권한이 있지만 이 역할은 DHCP 서비스로 제한되므로 관리istrators 그룹에 속하지 않습니다.
DHCP 관리istrators 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본> |
| Type | Do기본 Local |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 사용자 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 그룹을 이동할 수 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
DHCP 사용자
DHCP 사용자 그룹의 구성원은 활성 또는 비활성 상태인 범위를 확인하고, 할당된 IP 주소를 확인하고, DHCP 서버가 올바르게 구성되지 않은 경우 연결 문제를 볼 수 있습니다. 이 그룹은 DHCP 서버에 대한 읽기 전용 액세스로 제한됩니다.
DHCP 사용자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본> |
| Type | Do기본 Local |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 사용자 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 그룹을 이동할 수 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
Distributed COM Users
Distributed COM 사용자 그룹의 구성원은 컴퓨터에서 Distributed COM 개체를 시작, 활성화 및 사용할 수 있습니다. COM(Microsoft Component Object Model)은 상호 작용할 수 있는 이진 소프트웨어 구성 요소를 만들기 위한 플랫폼 독립적이고 분산된 개체 지향 시스템입니다. DCOM(분산 구성 요소 개체 모델)을 사용하면 애플리케이션을 사용자와 애플리케이션에 가장 적합한 위치에 분산할 수 있습니다. 이 그룹은 do기본 컨트롤러가 기본 do기본 컨트롤러로 만들어지고 연산 마스터(유연한 단일 마스터 작업 또는 FSMO라고도 함) 역할을 보유할 때까지 SID로 나타납니다.
분산 COM 사용자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-562 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
DnsUpdateProxy
DnsUpdateProxy 그룹의 멤버는 DNS 클라이언트입니다. DHCP 서버와 같은 다른 클라이언트를 대신하여 동적 업데이트를 수행할 수 있습니다. DHCP 서버가 동적 업데이트를 사용하여 DHCP 클라이언트를 대신하여 호스트(A) 및 포인터(PTR) 리소스 레코드를 동적으로 등록하도록 구성된 경우 DNS 서버는 부실 리소스 레코드를 개발할 수 있습니다. 이 보안 그룹에 클라이언트를 추가하면 이 시나리오가 완화됩니다.
그러나 보안되지 않은 레코드로부터 보호하거나 DnsUpdateProxy 그룹의 구성원이 보안 동적 업데이트만 허용하는 영역에 레코드를 등록하도록 허용하려면 전용 사용자 계정을 만들고 이 계정의 자격 증명(사용자 이름, 암호 및 할기본)을 사용하여 DNS 동적 업데이트를 수행하도록 DHCP 서버를 구성해야 합니다. 여러 DHCP 서버는 하나의 전용 사용자 계정의 자격 증명을 사용할 수 있습니다. 이 그룹은 DNS 서버 역할이 do기본 컨트롤러에 설치되었거나 한 번 설치된 경우에만 존재합니다기본.
자세한 내용은 DNS 레코드 소유권 및 DnsUpdateProxy 그룹을 참조 하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>< 변수 RI> |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
DnsAdmins
Dns관리s 그룹의 구성원은 네트워크 DNS 정보에 액세스할 수 있습니다. 기본 권한은 허용: 읽기, 쓰기, 모든 자식 개체 만들기, 자식 개체 삭제, 특수 사용 권한입니다. 이 그룹은 DNS 서버 역할이 do기본 컨트롤러에 설치되었거나 한 번 설치된 경우에만 존재합니다기본.
보안 및 DNS에 대한 자세한 내용은 Windows Server 2012의 DNSSEC를 참조 하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>< 변수 RI> |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Domain Admins
Do기본 관리s 보안 그룹의 구성원은 do기본 관리할 권한이 있습니다. 기본적으로 Do기본 관리s 그룹은 do기본 컨트롤러를 포함하여 do기본 조인한 모든 컴퓨터에서 관리istrators 그룹의 구성원입니다. Do기본 관리s 그룹은 그룹의 구성원이 기본 위해 Active Directory에서 만든 개체의 기본 소유자입니다. 그룹 구성원이 파일과 같은 다른 개체를 만드는 경우 기본 소유자는 관리istrators 그룹입니다.
Do기본 관리s 그룹은 할 일기본 모든 할 일기본 컨트롤러에 대한 액세스를 제어하고 할 일기본 있는 모든 관리 계정의 멤버 자격을 수정할 수 있습니다. do기본(관리istrators and Do기본 관리s)의 서비스 관리자 그룹 구성원과 Enterprise 관리s 그룹의 구성원은 Do기본 관리s 멤버 자격을 수정할 수 있습니다. 이 그룹은 구성원이 할 일기본 컨트롤러에 대한 모든 권한을 가지고 있기 때문에 서비스 관리자 계정으로 간주됩니다기본.
Do기본 관리s 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-512 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 관리자 |
| 기본 소속 | 관리istrators |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 관리 참조 |
도메인 컴퓨터
이 그룹에는 do기본 조인한 모든 컴퓨터와 서버가 포함될 수 있으며, do기본 컨트롤러는 제외됩니다. 기본적으로 자동으로 만들어진 컴퓨터 계정은 이 그룹의 구성원이 됩니다.
Do기본 Computers 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-515 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 할 일기본 조인된 모든 컴퓨터(do기본 컨트롤러 제외) |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예(필수는 아님) |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | 없음 |
도메인 컨트롤러 하나 이상
Do기본 컨트롤러 그룹에는 do기본 모든 할 일기본 컨트롤러가 포함될 수 있습니다. 새 do기본 컨트롤러가 이 그룹에 자동으로 추가됩니다.
Do기본 컨트롤러 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-516 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 할 일의 모든 할 일기본 컨트롤러에 대한 컴퓨터 계정기본 |
| 기본 소속 | RODC 암호 복제가 거부됨 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 아니요 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
도메인 게스트
Do기본 Guests 그룹에는 do기본 기본 제공 게스트 계정이 포함됩니다. 이 그룹의 구성원이 do기본 조인된 컴퓨터에서 로컬 게스트로 로그인하면 로컬 컴퓨터에 do기본 프로필이 만들어집니다.
Do기본 게스트 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-514 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 게스트 |
| 기본 소속 | 게스트 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 그룹을 이동할 수 있지만 권장하지 않습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 게스트 보기 |
도메인 사용자
Do기본 사용자 그룹에는 할 일기본 모든 사용자 계정이 포함됩니다. 할 일기본 사용자 계정을 만들면 이 그룹에 자동으로 추가됩니다.
기본적으로 do기본에서 만든 모든 사용자 계정은 자동으로 이 그룹의 멤버가 됩니다. 이 그룹을 사용하여 할 일기본 있는 모든 사용자를 나타낼 수 있습니다. 예를 들어 모든 사용자가 기본 프린터에 액세스할 수 있도록 하려면 프린터에 대한 사용 권한을 이 그룹에 할당하거나 프린터에 대한 권한이 있는 인쇄 서버의 로컬 그룹에 Do기본 Users 그룹을 추가할 수 있습니다.
Do기본 Users 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-513 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 관리자 |
| krbtgt | |
| 기본 소속 | 사용자 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 사용자 참조 |
Enterprise Admins
Enterprise 관리 그룹은 기본 Active Directory 포리스트의 루트 do기본에만 존재합니다. do기본가 기본 모드인 경우 그룹은 유니버설 그룹입니다. do기본 혼합 모드인 경우 그룹은 전역 그룹입니다. 이 그룹의 멤버는 자식 do기본 추가와 같이 Active Directory에서 포리스트 전체 변경을 수행할 권한이 있습니다.
기본적으로 그룹의 유일한 멤버는 포리스트 루트에 대한 관리istrator 계정기본. 이 그룹은 포리스트의 모든 do기본 관리istrators 그룹에 자동으로 추가되며, 모든 할 일기본 컨트롤러를 구성하는 데 완벽한 액세스를 제공합니다. 이 그룹의 구성원은 모든 관리 그룹의 멤버 자격을 수정할 수 있습니다. 루트에 있는 기본 서비스 관리자 그룹의 멤버는 기본 Enterprise 관리 멤버 자격을 수정할 수 있습니다. 이 그룹은 서비스 관리자 계정으로 간주됩니다.
Enterprise 관리 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-root< do기본>-519 |
| Type | 유니버설인 경우기본 기본 모드이고, 그렇지 않으면 전역입니다. |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 관리자 |
| 기본 소속 | 관리istrators |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 관리 참조 |
엔터프라이즈 키 관리자
이 그룹의 구성원은 포리스트 내의 주요 개체에 대해 관리 작업을 수행할 수 있습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-527 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
Enterprise 읽기 전용 Do기본 컨트롤러
이 그룹의 멤버는 엔터프라이즈의 RODC입니다. 계정 암호를 제외하고 RODC는 쓰기 가능 개체와 쓰기 가능한 특성기본 컨트롤러가 보유하는 모든 Active Directory 개체를 보유합니다. 그러나 RODC에 저장된 데이터베이스는 변경할 수 없습니다. 쓰기 가능한 do기본 컨트롤러에서 변경한 다음 RODC에 복제본(replica).
RODC는 지점에서 일반적으로 발견되는 몇 가지 문제를 해결합니다. 이러한 위치에는 do기본 컨트롤러가 없거나 쓰기 가능한 작업기본 컨트롤러가 있을 수 있지만 실제 보안, 네트워크 대역폭 또는 이를 지원하는 로컬 전문 지식은 없을 수 있습니다.
자세한 내용은 읽기 전용 수행기본 컨트롤러란?을 참조하세요.
Enterprise 읽기 전용 Do기본 컨트롤러 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-root< do기본>-498 |
| Type | 유니버설 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Event Log Readers
이 그룹의 구성원은 로컬 컴퓨터에서 이벤트 로그를 읽을 수 있습니다. 이 그룹은 서버가 do기본 컨트롤러로 승격될 때 만들어집니다.
이벤트 로그 판독기 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-573 |
| Type | Do기본 Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Group Policy Creator Owners
이 그룹은 할 일기본 그룹 정책 개체를 만들고 편집하고 삭제할 권한이 있습니다. 기본적으로 그룹의 유일한 멤버는 관리istrator입니다.
이 보안 그룹에서 사용할 수 있는 다른 기능에 대한 자세한 내용은 그룹 정책 개요를 참조하세요.
그룹 정책 작성자 소유자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-520 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 관리자 |
| 기본 소속 | RODC 암호 복제가 거부됨 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 아니요 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 거부된 RODC 암호 복제 참조 |
게스트
게스트 그룹의 구성원은 게스트 계정에 추가 제한이 있다는 점을 제외하고 기본적으로 사용자 그룹의 구성원과 동일한 액세스 권한을 가짐. 기본적으로 유일한 멤버는 게스트 계정입니다. 게스트 그룹을 사용하면 가끔 또는 한 번 사용자가 컴퓨터의 기본 제공 게스트 계정에 제한된 권한으로 로그인할 수 있습니다.
게스트 그룹의 구성원이 로그아웃하면 전체 프로필이 삭제됩니다. 프로필 삭제에는 사용자의 레지스트리 하이브 정보, 사용자 지정 데스크톱 아이콘 및 기타 사용자별 설정을 포함하여 %userprofile% 디렉터리에 저장된 모든 항목이 포함됩니다. 이 사실은 게스트가 임시 프로필을 사용하여 시스템에 로그인해야 한다는 것을 의미합니다. 이 보안 그룹은 그룹 정책 설정과 상호 작용합니다. 이 보안 그룹을 사용하도록 설정하면 임시 프로필이 있는 사용자를 로그온하지 마세요. 이 설정에 액세스하려면 Computer Configuration>관리istrative Templates>시스템>사용자 프로필로 이동합니다.
참고 항목
게스트 계정은 게스트 보안 그룹의 기본 멤버입니다. 할 일기본 실제 계정이 없는 사람 게스트 계정을 사용할 수 있습니다. 계정이 있지만 사용하지 않도록 설정된 사용자도 게스트 계정을 사용할 수 있습니다. 게스트 계정은 암호가 필요하지 않습니다. 모든 사용자 계정에서와 같이 게스트 계정에 대한 권한 및 권한을 설정할 수 있습니다. 기본적으로 게스트 계정은 기본 제공 게스트 그룹 및 Do기본 Guests Global 그룹의 구성원으로, 사용자가 할 일기본 로그인할 수 있습니다. 게스트 계정은 기본적으로 사용하지 않도록 설정되어 있는데, 이 설정을 그대로 유지하는 것이 좋습니다.
게스트 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-546 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 할 일기본 게스트 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
Hyper-V 관리자
Hyper-V 관리istrators 그룹의 구성원은 Hyper-V의 모든 기능에 완전하고 무제한으로 액세스할 수 있습니다. 이 그룹에 멤버를 추가하면 관리istrators 그룹에 필요한 멤버 수를 줄이고 액세스를 추가로 구분할 수 있습니다.
참고 항목
Windows Server 2012 이전에는 Hyper-V의 기능에 대한 액세스가 관리istrators 그룹의 멤버 자격에 의해 부분적으로 제어되었습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-578 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
IIS_IUSRS
IIS_IUSRS IIS 7부터 IIS(인터넷 정보 서비스)에서 사용하는 기본 제공 그룹입니다. 기본 제공 계정 및 그룹은 운영 체제에서 항상 고유한 SID를 갖도록 보장합니다. IIS 7은 IUSR_MachineName 계정과 IIS_WPG 그룹을 IIS_IUSRS 그룹으로 대체하여 새 계정 및 그룹 사용의 실제 이름이 지역화되지 않도록 합니다. 예를 들어 설치하는 Windows 운영 체제의 언어에 관계없이 IIS 계정 이름은 항상 IUSR이며 그룹 이름은 IIS_IUSRS.
자세한 내용은 IIS 7의 기본 제공 사용자 및 그룹 계정 이해를 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-568 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | Iusr |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
들어오는 포리스트 트러스트 작성기
들어오는 포리스트 트러스트 작성기 그룹의 멤버는 이 포리스트에 들어오는 단방향 트러스트를 만들 수 있습니다. Active Directory는 do기본 및 포리스트 트러스트 관계를 통해 여러 do기본 또는 포리스트에서 보안을 제공합니다. 트러스트 간에 인증이 수행되기 전에 Windows는 사용자, 컴퓨터 또는 서비스에서 요청하는 do기본 요청 계정의 로그온과 트러스트 관계가 있는지기본 결정해야 합니다.
이 결정을 내리기 위해 Windows 보안 시스템은 요청을 수신하는 서버에 대한 do기본 컨트롤러와 요청 계정의 do기본에서 할 일기본 컨트롤러 간의 트러스트 경로를 계산합니다. 보안 채널은 interdo기본 트러스트 관계를 통해 다른 Active Directory do기본로 확장됩니다. 이 보안 채널은 사용자 및 그룹에 대한 SID를 포함하여 보안 정보를 가져오고 확인하는 데 사용됩니다.
이 그룹은 do기본 컨트롤러가 기본 do기본 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 나타납니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
자세한 내용은 방법기본 및 포리스트 트러스트 작동 방법: Do기본 및 포리스트 트러스트를 참조하세요.
들어오는 포리스트 트러스트 작성기 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-557 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
키 관리자
이 그룹의 구성원은 do기본 내의 주요 개체에 대한 관리 작업을 수행할 수 있습니다.
키 관리 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-526 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
Network Configuration Operators
네트워크 구성 연산자 그룹의 구성원은 네트워킹 기능의 구성을 관리하기 위해 다음과 같은 관리 권한을 가질 수 있습니다.
IP 주소, 서브넷 마스크, 기본 게이트웨이 및 이름 서버를 포함하는 LAN(로컬 영역 네트워크) 연결에 대한 TCP/IP(Transmission Control Protocol/Internet Protocol) 속성을 수정합니다.
모든 사용자가 사용할 수 있는 LAN 연결 또는 원격 액세스 연결의 이름을 바꿉니다.
LAN 연결을 사용하거나 사용하지 않도록 설정합니다.
사용자의 모든 원격 액세스 연결의 속성을 수정합니다.
사용자의 모든 원격 액세스 연결을 삭제합니다.
사용자의 모든 원격 액세스 연결 이름을 바꿉니다.
문제
ipconfig,ipconfig /release및ipconfig /renew명령입니다.SIM 카드 지원하는 모바일 광대역 디바이스의 PIN 차단 해제 키(PUK)를 입력합니다.
이 그룹은 do기본 컨트롤러가 기본 do기본 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 나타납니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
네트워크 구성 연산자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-556 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | 없음 |
성능 로그 사용자
성능 로그 사용자 그룹의 구성원은 관리istrators 그룹의 구성원이 되지 않고 서버 및 원격 클라이언트에서 로컬로 성능 카운터, 로그 및 경고를 관리할 수 있습니다. 특히 이 보안 그룹의 멤버는 다음과 같습니다.
성능 모니터 사용자 그룹에서 사용할 수 있는 모든 기능을 사용할 수 있습니다.
그룹에 로그온을 일괄 작업 사용자 권한으로 할당한 후 데이터 수집기 집합을 만들고 수정할 수 있습니다.
Warning
성능 로그 사용자 그룹의 구성원인 경우 자격 증명으로 실행하도록 만든 데이터 수집기 집합을 구성해야 합니다.
참고 항목
Windows Server 2016 이상에서는 성능 로그 사용자 그룹의 구성원이 데이터 수집기 집합을 만들 수 없습니다. 성능 로그 사용자 그룹의 멤버가 데이터 수집기 집합을 만들려고 하면 액세스가 거부되어 작업을 완료할 수 없습니다.
데이터 수집기 집합에서 Windows 커널 추적 이벤트 공급자를 사용할 수 없습니다.
성능 로그 사용자 그룹의 구성원이 데이터 로깅을 시작하거나 데이터 수집기 집합을 수정하려면 먼저 그룹에 로그온을 일괄 작업 사용자 권한으로 할당해야 합니다. 이 사용자 권한을 할당하려면 MMC(Microsoft Management Console)에서 로컬 보안 정책 스냅인을 사용합니다.
이 그룹은 do기본 컨트롤러가 기본 do기본 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 나타납니다. 이 계정은 이름을 바꾸거나 삭제하거나 이동할 수 없습니다.
성능 로그 사용자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-559 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | 일괄 작업으로 로그온: SeBatchLogonRight |
성능 모니터 사용자
이 그룹의 구성원은 관리istrators 또는 성능 로그 사용자 그룹의 구성원이 되지 않고도 할 일기본, 로컬 및 원격 클라이언트의 do기본 컨트롤러에서 성능 카운터를 모니터링할 수 있습니다. Windows 성능 모니터 시스템 성능을 분석하기 위한 도구를 제공하는 MMC 스냅인입니다. 단일 콘솔에서 애플리케이션 및 하드웨어 성능을 모니터링하고, 로그에서 수집하려는 데이터를 사용자 지정하고, 경고 및 자동 작업에 대한 임계값을 정의하고, 보고서를 생성하고, 다양한 방법으로 과거 성능 데이터를 볼 수 있습니다.
특히 이 보안 그룹의 멤버는 다음과 같습니다.
사용자 그룹에서 사용할 수 있는 모든 기능을 사용할 수 있습니다.
성능 모니터 실시간 성능 데이터를 볼 수 있습니다.
데이터를 보는 동안 성능 모니터 표시 속성을 변경할 수 있습니다.
데이터 수집기 집합을 만들거나 수정할 수 없습니다.
Warning
성능 모니터 사용자 그룹의 구성원은 데이터 컬렉션 집합을 구성할 수 없습니다.
이 그룹은 do기본 컨트롤러가 기본 do기본 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 나타납니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
성능 모니터 사용자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-558 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | 없음 |
Windows 2000 이전 호환 액세스
Windows 2000 이전 호환 액세스 그룹의 구성원은 do기본 모든 사용자 및 그룹에 대한 읽기 권한이 있습니다. 이 그룹은 Windows NT 4.0 이하를 실행하는 컴퓨터의 이전 버전과의 호환성을 위해 제공됩니다. 기본적으로 특수 ID 그룹 Everyone는 이 그룹의 구성원입니다. Windows NT 4.0 이하를 실행하는 경우에만 이 그룹에 사용자를 추가합니다.
Warning
이 그룹은 do기본 컨트롤러가 기본 do기본 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 나타납니다.
Windows 2000 이전 호환 액세스 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-554 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | Windows 2000 이전 호환 권한 모드를 선택하면 모든 사용자와 익명이 구성원입니다. Windows 2000 전용 사용 권한 모드를 선택하면 인증된 사용자가 구성원입니다. |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight 트래버스 검사 우회: SeChangeNotifyPrivilege |
Print Operators
이 그룹의 구성원은 할 일기본 컨트롤러에 연결된 프린터를 관리, 만들기, 공유 및 삭제할 수 기본. 또한 do기본 Active Directory 프린터 개체를 관리할 수도 있습니다. 이 그룹의 구성원은 do기본 컨트롤러에 로컬로 로그인하고 do기본 컨트롤러를 종료할 수 있습니다.
이 그룹에는 기본 구성원이 없습니다. 이 그룹의 구성원은 할 일기본 모든 작업기본 컨트롤러에서 디바이스 드라이버를 로드하고 언로드할 수 있으므로 주의해서 사용자를 추가합니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
인쇄 연산자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
자세한 내용은 Windows Server 2012에서 위임된 인쇄 관리자 및 프린터 사용 권한 설정 할당을 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-550 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용: SeInteractiveLogonRight 디바이스 드라이버 로드 및 언로드: SeLoadDriverPrivilege 시스템 종료: SeShutdownPrivilege |
보호된 사용자
보호된 사용자 그룹의 구성원은 인증 프로세스 중에 자격 증명 손상에 대한 추가 보호를 제공합니다.
이 보안 그룹은 엔터프라이즈 내에서 자격 증명을 효과적으로 보호하고 관리하기 위한 전략의 일환으로 설계되었습니다. 이 그룹의 구성원은 자동으로 해당 계정에 구성할 수 없는 보호를 적용합니다. 보호된 그룹의 구성원은 기본적으로 사전에 엄격하게 보호됩니다. 계정에 대한 보호를 수정할 수 있는 유일한 방법은 보안 그룹에서 계정을 제거하는 것입니다.
이렇게 기본 관련된 전역 그룹은 Windows Server 2012 R2 및 Windows 8.1 운영 체제부터 디바이스 및 호스트 컴퓨터에서 구성할 수 없는 보호를 트리거합니다. 또한 Windows Server 2016 또는 Windows Server 2012 R2를 실행하는 기본 do기본기본 컨트롤러가 있는 do기본 컨트롤러에서 구성할 수 없는 보호를 트리거합니다. 이 보호는 사용자가 손상하지 않은 컴퓨터에서 네트워크에 있는 컴퓨터에 로그인할 때 자격 증명의 메모리 공간을 크게 줄입니다.
계정의 할 일기본 기능 수준에 따라 Windows에서 지원되는 인증 방법의 동작 변경으로 인해 보호된 사용자 그룹의 구성원이 추가로 보호됩니다.
보호된 사용자 그룹의 구성원은 NTLM, 다이제스트 인증 또는 CredSSP(보안 지원 공급자)를 사용하여 인증할 수 없습니다. 암호는 Windows 10 또는 Windows 8.1을 실행하는 디바이스에서 캐시되지 않으므로 계정이 보호된 사용자 그룹의 구성원인 경우 디바이스가 할 일기본 인증에 실패합니다.
Kerberos 프로토콜은 사전 인증 프로세스에서 약한 DES 또는 RC4 암호화 유형을 사용하지 않습니다. do기본 적어도 AES 암호 그룹을 지원하도록 구성해야 합니다.
사용자의 계정은 Kerberos 제한 또는 제한되지 않은 위임으로 위임할 수 없습니다. 사용자가 보호된 사용자 그룹의 구성원인 경우 다른 시스템에 대한 이전 연결이 실패할 수 있습니다.
Active Directory 관리istrative Center에서 인증 정책 및 사일로를 사용하여 기본 Kerberos TGT(티켓 부여 티켓) 수명 설정을 4시간으로 변경할 수 있습니다. 기본 설정에서 4시간이 지나면 사용자가 다시 인증해야 합니다.
보호된 사용자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
이 그룹은 Windows Server 2012 R2에서 도입되었습니다. 이 그룹의 작동 방식에 대한 자세한 내용은 보호된 사용자 보안 그룹을 참조하세요.
다음 표에서는 보호된 사용자 그룹의 속성을 지정합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-525 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
RAS 및 IAS Servers
RAS 및 IAS 서버 그룹의 구성원인 컴퓨터는 올바르게 구성된 경우 원격 액세스 서비스를 사용할 수 있습니다. 기본적으로 이 그룹에는 멤버가 없습니다. RRAS(라우팅 및 원격 액세스 서비스) 및 IAS(인터넷 인증 서비스) 및 네트워크 정책 서버와 같은 원격 액세스 서비스를 실행하는 컴퓨터가 자동으로 그룹에 추가됩니다. 이 그룹의 구성원은 읽기 계정 제한, 로그온 정보 읽기 및 원격 액세스 정보 읽기와 같은 사용자 개체의 특정 속성에 액세스할 수 있습니다.
RAS 및 IAS 서버 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-553 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | 없음 |
RDS Endpoint Servers
RDS 엔드포인트 서버 그룹의 구성원인 서버는 사용자 RemoteApp 프로그램 및 개인 가상 데스크톱이 실행되는 가상 머신 및 호스트 세션을 실행할 수 있습니다. RD 커넥트ion Broker를 실행하는 서버에서 이 그룹을 채워야 합니다. 배포에 사용되는 세션 호스트 서버 및 RD 가상화 호스트 서버는 이 그룹에 있어야 합니다.
RDS(원격 데스크톱 서비스)에 대한 자세한 내용은 원격 데스크톱 서비스의 호스트 데스크톱 및 앱을 참조 하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-576 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
RDS 관리 서버
RDS 관리 서버 그룹의 구성원인 서버를 사용하여 RDS를 실행하는 서버에서 일상적인 관리 작업을 완료할 수 있습니다. RDS 배포의 모든 서버에서 이 그룹을 채워야 합니다. RDS 중앙 관리 서비스를 실행 하는 서버는이 그룹에 포함 되어야 합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-577 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
RDS 원격 액세스 서버
RDS 원격 액세스 서버 그룹의 서버는 사용자에게 RemoteApp 프로그램 및 개인 가상 데스크톱에 대한 액세스를 제공합니다. 인터넷 연결 배포에서 이러한 서버는 일반적으로 에지 네트워크에 배포됩니다. RD 커넥트ion Broker를 실행하는 서버에서 이 그룹을 채워야 합니다. 배포에 사용되는 RD 게이트웨이 서버 및 RD 웹 액세스 서버는 이 그룹에 있어야 합니다.
자세한 내용은 원격 데스크톱 서비스의 호스트 데스크톱 및 앱을 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-575 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Read-only Domain Controllers
이 그룹은 do기본 RODC로 구성됩니다. RODC를 사용하면 조직에서 지사 위치와 같이 물리적 보안을 보장할 수 없는 시나리오에서 할 일기본 컨트롤러를 쉽게 배포할 수 있습니다. 또는 모든 작업의 로컬 스토리지기본 암호가 엑스트라넷 또는 애플리케이션 연결 역할과 같은 주요 위협으로 간주되는 경우입니다.
RODC 관리를 할 일기본 사용자 또는 보안 그룹에 위임할 수 있으므로 RODC는 Do기본 관리s 그룹의 구성원이 아니어야 하는 사이트에 적합합니다. RODC에는 다음과 같은 기능이 있습니다.
읽기 전용 AD DS 데이터베이스 포함
단방향 복제본(replica)
자격 증명 캐싱
관리분할자 역할 분리
DNS(읽기 전용 Do기본 Name System)를 포함합니다.
자세한 내용은 읽기 전용 do기본 컨트롤러에 대한 계획 및 배포 이해를 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>-521 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | RODC 암호 복제가 거부됨 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 거부된 RODC 암호 복제 참조 |
Remote Desktop Users
RD 세션 호스트 서버의 원격 데스크톱 사용자 그룹을 사용하여 RD 세션 호스트 서버에 원격으로 연결할 수 있는 권한을 사용자 및 그룹에 부여합니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다. do기본 컨트롤러가 기본 do기본 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 그룹이 SID로 표시됩니다.
원격 데스크톱 사용자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-555 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | 없음 |
원격 관리 사용자
원격 관리 사용자 그룹의 구성원은 Windows 원격 관리 서비스를 통해 WS-Management와 같은 관리 프로토콜을 통해 WMI(Windows Management Instrumentation) 리소스에 액세스할 수 있습니다. WMI 리소스에 대한 액세스는 사용자에게 액세스 권한을 부여하는 WMI 네임스페이스에만 적용됩니다.
원격 관리 사용자 그룹을 사용하여 사용자가 서버 관리자 콘솔을 통해 서버를 관리할 수 있도록 합니다. WinRMRemoteWMIUsers\_ 그룹을 사용하여 사용자가 Windows PowerShell 명령을 원격으로 실행할 수 있도록 합니다.
자세한 내용은 MI의 새로운 기능 및 WMI 정보를 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-580 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Replicator
Replicator 그룹의 구성원인 컴퓨터는 할 일에서 파일 복제본(replica)tion을 지원합니다기본. Windows Server 운영 체제는 FRS(파일 복제 서비스)를 사용하여 시스템 볼륨 폴더(sysvol 폴더)에 저장된 시스템 정책 및 로그온 스크립트를 복제본(replica). 각 do기본 컨트롤러는 네트워크 클라이언트가 액세스할 수 있도록 sysvol 폴더의 복사본을 유지합니다. FRS는 DFS(분산 파일 시스템)에 대한 데이터를 복제본(replica) DFS에 정의된 대로 복제본(replica) 집합에 있는 각 멤버의 콘텐츠를 동기화할 수도 있습니다. FRS는 여러 서버에서 공유 파일 및 폴더를 동시에 복사하고 기본 수 있습니다. 변경이 발생하면 사이트 내에서 사이트 간 일정에 따라 콘텐츠가 즉시 동기화됩니다.
Warning
Windows Server 2008 R2에서는 FRS를 사용하여 DFS 폴더 또는 사용자 지정(비 sysvol) 데이터를 복제본(replica) 수 없습니다. Windows Server 2008 R2 do기본 컨트롤러는 여전히 FRS를 사용하여 FRS를 사용하여 do기본 컨트롤러 간에 sysvol 폴더 공유 리소스를 복제본(replica)te하는 do기본 sysvol 폴더 공유 리소스의 콘텐츠를 복제본(replica)테기본할 수 있습니다. 그러나 Windows Server 2008 R2 서버는 FRS를 사용하여 sysvol 폴더 공유 리소스를 제외한 모든 복제본(replica) 집합의 콘텐츠를 복제본(replica)te할 수 없습니다. DFS 복제 서비스는 FRS를 대체합니다. DFS 복제를 사용하여 sysvol 폴더 공유 리소스, DFS 폴더 및 기타 사용자 지정(비 sysvol) 데이터의 콘텐츠를 복제본(replica)te할 수 있습니다. 모든 비 sysvol FRS 복제본(replica) 집합을 DFS 복제로 마이그레이션해야 합니다.
자세한 내용은 다음을 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-552 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |
Schema Admins
스키마 관리 그룹의 멤버는 Active Directory 스키마를 수정할 수 있습니다. 이 그룹은 do기본 Active Directory 포리스트의 루트 do기본만 존재합니다. do기본가 기본 모드인 경우 이 그룹은 유니버설 그룹입니다. do기본 혼합 모드인 경우 이 그룹은 전역 그룹입니다.
그룹은 Active Directory에서 스키마를 변경할 권한이 있습니다. 기본적으로 그룹의 유일한 멤버는 포리스트 루트에 대한 관리istrator 계정기본. 이 그룹에는 스키마에 대한 모든 관리 권한이 있습니다.
루트에 있는 모든 서비스 관리자 그룹은 이 그룹의 멤버 자격을 수정할 수 기본 있습니다. 이 그룹은 멤버가 전체 디렉터리의 구조와 콘텐츠를 제어하는 스키마를 수정할 수 있기 때문에 서비스 관리자 계정으로 간주됩니다.
자세한 내용은 Active Directory 스키마란?
스키마 관리 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-root< do기본>-518 |
| Type | 유니버설(Do기본이 기본 모드인 경우) 다른 Global |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 관리자 |
| 기본 소속 | RODC 암호 복제가 거부됨 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 거부된 RODC 암호 복제 참조 |
Server Operators
서버 운영자 그룹의 구성원은 할 일기본 컨트롤러를 관리할 수 있습니다. 이 그룹은 do기본 컨트롤러에만 존재합니다. 기본적으로 그룹에는 멤버가 없습니다. 서버 운영자 그룹의 구성원은 대화형으로 서버에 로그인하고, 네트워크 공유 리소스를 만들고 삭제하고, 서비스를 시작 및 중지하고, 파일을 백업 및 복원하고, 컴퓨터의 하드 디스크 드라이브 형식을 지정하고, 컴퓨터를 종료하는 작업을 수행할 수 있습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
기본적으로 이 기본 제공 그룹에는 멤버가 없습니다. 이 그룹은 할 일기본 컨트롤러의 서버 구성 옵션에 액세스할 수 있습니다. 해당 멤버 자격은 do기본의 서비스 관리자 그룹관리이스트래터 및 Do기본 관리 및 포리스트 루트 do의 Enterprise 관리s 그룹에 의해 제어됩니다기본. 이 그룹의 구성원은 관리 그룹 멤버 자격을 변경할 수 없습니다. 이 그룹은 구성원이 할 기본 컨트롤러에 물리적으로 액세스할 수 있기 때문에 서비스 관리자 계정으로 간주됩니다. 이 그룹의 구성원은 백업 및 복원과 같은 기본 테넌트 작업을 수행할 수 있으며 do기본 컨트롤러에 설치된 이진 파일을 변경할 수 있습니다. 다음 표에서 그룹의 기본 사용자 권한을 참조하세요.
서버 운영자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-549 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용: SeInteractiveLogonRight 파일 및 디렉터리 백업: SeBackupPrivilege 시스템 시간 변경: SeSystemTimePrivilege 표준 시간대 변경: SeTimeZonePrivilege 원격 시스템에서 강제 종료: SeRemoteShutdownPrivilege 파일 및 디렉터리 복원: 파일 및 디렉터리 SeRestorePrivilege 복원 시스템 종료: SeShutdownPrivilege |
스토리지 복제본 관리사용자
스토리지 복제본 관리istrators 그룹의 구성원은 스토리지 복제본의 모든 기능에 대해 완전하고 무제한으로 액세스할 수 있습니다. 스토리지 복제본 관리istrators 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-582 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
시스템 관리 계정
시스템 관리 계정 그룹의 멤버 자격은 시스템에서 관리됩니다.
시스템 관리 계정 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-581 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 사용자 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
터미널 서버 라이선스 서버
터미널 서버 라이선스 서버 그룹의 구성원은 Active Directory의 사용자 계정을 라이선스 발급에 대한 정보로 업데이트할 수 있습니다. 이 그룹은 사용자별 TS CAL 사용량을 추적하고 보고하는 데 사용됩니다. 사용자별 TS CAL은 한 사용자에게 무제한의 클라이언트 컴퓨터 또는 디바이스에서 터미널 서버 인스턴스에 액세스할 수 있는 권한을 부여합니다. 이 그룹은 do기본 컨트롤러가 기본 do기본 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 나타납니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
이 보안 그룹에 대한 자세한 내용은 터미널 서비스 라이선스 서버 보안 그룹 구성을 참조하세요.
터미널 서버 라이선스 서버 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-561 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | 없음 |
사용자
사용자 그룹의 구성원은 실수로 또는 의도적인 시스템 차원의 변경을 할 수 없습니다. 이 그룹의 멤버는 대부분의 애플리케이션을 실행할 수 있습니다. 운영 체제를 처음 설치한 후 유일한 멤버는 인증된 사용자 그룹입니다. 컴퓨터에서 do기본 조인하면 할 일기본 사용자 그룹이 컴퓨터의 사용자 그룹에 추가됩니다.
사용자는 애플리케이션을 실행하고, 로컬 및 네트워크 프린터를 사용하고, 컴퓨터를 종료하고, 컴퓨터를 잠그는 등의 작업을 수행할 수 있습니다. 사용자는 애플리케이션의 설치 프로그램이 사용자별 설치를 지원하는 경우에만 사용할 수 있는 애플리케이션을 설치할 수 있습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
사용자 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
이 보안 그룹에는 Windows Server 2008 이후 다음과 같은 변경 내용이 포함됩니다.
Windows Server 2008 R2에서 Interactive가 기본 멤버 목록에 추가되었습니다.
Windows Server 2012에서 기본 목록 구성원이 Do기본 사용자에서 없음으로 변경되었습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-545 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | 인증된 사용자 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 없음 |
Windows 권한 부여 액세스
이 그룹의 멤버는 사용자 개체의 계산된 토큰 GroupsGlobalAndUniversal 특성에 액세스할 수 있습니다. 일부 애플리케이션에는 사용자 계정 개체 또는 AD DS의 컴퓨터 계정 개체에서 token-groups-global-and-universal(TGGAU) 특성을 읽는 기능이 있습니다. 일부 Win32 함수를 사용하면 TGGAU 특성을 더 쉽게 읽을 수 있습니다. 이 특성을 읽거나 이 특성을 읽는 API( 함수)를 호출하는 애플리케이션은 호출 보안 컨텍스트에 특성에 대한 액세스 권한이 없는 경우 성공하지 못합니다. 이 그룹은 do기본 컨트롤러가 기본 do기본 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 나타납니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
Windows 권한 부여 액세스 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-560 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<do기본>, DC= |
| 기본 구성원 | Enterprise Domain Controllers |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | 없음 |
WinRMRemoteWMIUsers_
Windows Server 2012 및 Windows 8에서는 고급 보안 설정 사용자 인터페이스에 공유 탭이 추가되었습니다. 이 탭에는 원격 파일 공유의 보안 속성이 표시됩니다. 이 정보를 보려면 파일 서버가 실행 중인 Windows Server 버전에 적합한 다음과 같은 권한과 멤버 자격이 있어야 합니다.
WinRMRemoteWMIUsers_ 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
지원되는 운영 체제 버전을 실행하는 서버에서 파일 공유가 호스트되는 경우:
WinRMRemoteWMIUsers__ 그룹의 구성원이거나 BUILTIN\관리istrators 그룹이어야 합니다.
파일 공유에 대한 읽기 권한이 있어야 합니다.
파일 공유가 Windows Server 2012 이전 버전의 Windows Server를 실행하는 서버에서 호스트되는 경우:
BUILTIN\관리istrators 그룹의 멤버여야 합니다.
파일 공유에 대한 읽기 권한이 있어야 합니다.
Windows Server 2012에서 액세스 거부 지원 기능은 인증된 사용자 그룹을 로컬 WinRMRemoteWMIUsers__ 그룹에 추가합니다. 액세스 거부 지원 기능을 사용하도록 설정하면 파일 공유에 대한 읽기 권한이 있는 모든 인증된 사용자는 파일 공유 권한을 볼 수 있습니다.
참고 항목
WinRMRemoteWMIUsers__ 그룹을 사용하면 Windows PowerShell 명령을 원격으로 실행할 수 있습니다. 반면, 일반적으로 원격 관리 사용자 그룹을 사용하여 사용자가 서버 관리자 콘솔을 사용하여 서버를 관리할 수 있도록 합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본>< 변수 RI> |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Users, DC=<do기본>, DC= |
| 기본 구성원 | 없음 |
| 기본 소속 | 없음 |
| 관리SDHolder로 보호하시겠습니까? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 없음 |