사용자 계정 컨트롤 및 WMI

UAC (사용자 계정 컨트롤)는 명령줄 도구, 원격 액세스 및 스크립트 실행 방법에서 반환 되는 WMI 데이터에 영향을 줍니다. UAC에 대 한 자세한 내용은 사용자 계정 컨트롤 시작을 참조 하세요.

다음 섹션에서는 UAC 기능에 대해 설명 합니다.

사용자 계정 컨트롤

UAC에서 로컬 Administrators 그룹의 계정에는 표준 사용자 권한이 있는 액세스 토큰과 관리자 권한이 있는 두 개의 액세스 토큰이있습니다. UAC 액세스 토큰 필터링 때문에 관리자 권한 모드로 "관리자 권한으로" 실행 하지 않는 한 스크립트는 일반적으로 표준 사용자 토큰에 따라 실행 됩니다. 일부 스크립트에는 관리 권한이 필요 하지 않습니다.

스크립트는 표준 사용자 보안 토큰 또는 관리자 토큰으로 실행 되 고 있는지 여부를 프로그래밍 방식으로 확인할 수 없습니다. 스크립트는 액세스 거부 오류와 함께 실패할 수 있습니다. 스크립트에 관리자 권한이 필요한 경우 관리자 권한 모드로 실행 해야 합니다. WMI 네임 스페이스에 대 한 액세스는 스크립트가 관리자 모드에서 실행 되는지 여부에 따라 달라 집니다. 데이터 가져오기 또는 대부분의 메서드 실행과 같은 일부 WMI 작업에는 계정이 관리자 권한으로 실행 되는 것이 필요 하지 않습니다. 기본 액세스 권한에 대 한 자세한 내용은 WMI 네임 스페이스에 대 한 액세스 및 권한 있는 작업 실행을 참조 하세요.

사용자 계정 컨트롤 때문에 관리자 권한으로 실행할 수 있도록 스크립트를 실행 하는 계정이 로컬 컴퓨터의 관리자 그룹에 있어야 합니다.

다음 방법 중 하나를 수행 하 여 승격 된 권한으로 스크립트 또는 응용 프로그램을 실행할 수 있습니다.

관리자 모드에서 스크립트를 실행 하려면

  1. 시작 메뉴에서 명령 프롬프트를 마우스 오른쪽 단추로 클릭 한 다음 관리자 권한으로 실행 을 클릭 하 여 명령 프롬프트 창을 엽니다.
  2. 작업 스케줄러를 사용 하 여 관리자 권한으로 실행 되도록 스크립트를 예약 합니다. 자세한 내용은 작업 실행을 위한 보안 컨텍스트를 참조 하십시오.
  3. 기본 제공 관리자 계정을 사용 하 여 스크립트를 실행 합니다.

WMI Command-Line 도구를 실행 하는 데 필요한 계정

다음 WMI Command-Line 도구를 실행 하려면 계정이 Administrators 그룹에 있어야 하 고 관리자 권한 명령 프롬프트에서 도구를 실행 해야 합니다. 기본 제공 관리자 계정은 이러한 도구를 실행할 수도 있습니다.

  • mofcomp.exe

  • wmic

    시스템 설치 후 처음으로 Wmic를 실행 하는 경우 관리자 권한 명령 프롬프트에서 실행 해야 합니다. WMI 작업에 관리자 권한이 필요한 경우를 제외 하 고는 나중에 Wmic를 실행 하는 데 관리자 모드가 필요 하지 않을 수 있습니다.

  • winmgmt

  • wmiadap

Wmi 컨트롤 (wmimgmt.msc)을 실행 하 고 wmi 네임 스페이스 보안 또는 감사 설정을 변경 하려면 계정에 명시적으로 권한을 부여 하거나 로컬 관리자 그룹에 있어야 하는 보안 편집 권한이 있어야 합니다. 기본 제공 관리자 계정으로도 네임 스페이스에 대 한 보안 또는 감사를 변경할 수 있습니다.

Microsoft 고객 지원 서비스에서 지원 하지 않는 명령줄 도구인 Wbemtest.exe는 특정 작업에 일반적으로 관리자 계정에 부여 된 권한이 필요한 경우가 아니면 로컬 Administrators 그룹에 없는 계정으로 실행할 수 있습니다.

UAC에서 원격 연결 처리

도메인 또는 작업 그룹의 원격 컴퓨터에 연결 하는 경우 UAC 필터링이 발생 하는지 여부를 결정 합니다.

컴퓨터가 도메인의 일부인 경우 원격 컴퓨터의 로컬 관리자 그룹에 있는 도메인 계정을 사용 하 여 대상 컴퓨터에 연결 합니다. 그런 다음 UAC 액세스 토큰 필터링은 로컬 관리자 그룹의 도메인 계정에 영향을 주지 않습니다. 계정이 Administrators 그룹에 있는 경우에도 원격 컴퓨터에서 비도메인 계정 로컬 계정을 사용 하지 마세요.

작업 그룹에서 원격 컴퓨터에 연결 하는 계정은 해당 컴퓨터의 로컬 사용자입니다. 계정이 Administrators 그룹에 있는 경우에도 UAC 필터링은 스크립트가 표준 사용자로 실행 됨을 의미 합니다. 특히 원격 연결용으로 대상 컴퓨터에 전용 로컬 사용자 그룹 또는 사용자 계정을 만드는 것이 가장 좋습니다.

계정에 관리 권한이 없기 때문에이 계정을 사용할 수 있도록 보안을 조정 해야 합니다. 로컬 사용자를 지정 합니다.

  • DCOM에 액세스할 수 있는 원격 시작 및 활성화 권한입니다. 자세한 내용은 원격 컴퓨터의 WMI에 연결을 참조 하세요.
  • WMI 네임 스페이스에 원격으로 액세스할 수 있는 권한 (원격 사용). 자세한 내용은 WMI 네임 스페이스에대 한 액세스를 참조 하세요.
  • 개체에 필요한 보안에 따라 특정 보안 개체에 액세스할 수 있는 권한입니다.

작업 그룹에 있거나 로컬 컴퓨터 계정인 경우 로컬 계정을 사용 하는 경우 로컬 사용자에 게 특정 작업을 강제로 지정 해야 할 수 있습니다. 예를 들어 SC.exe 명령, Win32 _ 서비스GetSecurityDescriptorSetSecurityDescriptor 메서드 또는 gpedit.msc를 사용 하 여 그룹 정책를 통해 특정 서비스를 중지 하거나 시작할 수 있는 권한을 사용자에 게 부여할 수 있습니다. 일부 보안 개체는 표준 사용자가 작업을 수행 하는 것을 허용 하지 않으며 기본 보안을 변경 하는 방법을 제공 하지 않습니다. 이 경우 로컬 사용자 계정이 필터링 되지 않고 대신 전체 관리자가 되기 위해 UAC를 사용 하지 않도록 설정 해야 할 수 있습니다. 보안상의 이유로 UAC를 사용 하지 않도록 설정 하는 것이 최후의 수단입니다.

원격 UAC를 제어 하는 레지스트리 항목을 변경 하 여 원격 UAC를 사용 하지 않도록 설정 하는 것은 권장 되지 않지만 작업 그룹에 필요할 수 있습니다. 레지스트리 항목은 HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ 정책 \ system \ LocalAccountTokenFilterPolicy 입니다. 이 항목의 값이 영(0)이면 원격 UAC 액세스 토큰 필터링이 사용하도록 설정됩니다. 값이 1이면 원격 UAC가 사용하지 않도록 설정됩니다.

스크립트나 응용 프로그램에 반환 된 WMI 데이터에 대 한 UAC 효과

스크립트나 응용 프로그램이 Administrators 그룹의 계정으로 실행 중이지만 상승 된 권한으로 실행 되 고 있지 않은 경우이 계정이 표준 사용자로 실행 되기 때문에 반환 되는 모든 데이터를 얻지 못할 수 있습니다. 일부 클래스의 WMI 공급자 는 모든 인스턴스를 표준 사용자 계정 또는 UAC 필터링으로 인해 전체 관리자 권한으로 실행 하지 않는 관리자 계정에 반환 하지 않습니다.

다음 클래스는 계정이 UAC에서 필터링 되는 경우 일부 인스턴스를 반환 하지 않습니다.

다음 클래스는 계정이 UAC에서 필터링 될 때 일부 속성을 반환 하지 않습니다.

WMI 정보

WMI 보안 개체에 대 한 액세스

보안 개체에 대 한 액세스 보안 변경