도메인에서는 모든 사용자를 서버에서 인증하기 때문에 Winodws 7과 같은 Worksttion 은 하나의 단말기에 불과
보안을 중시하는 사이트는 MAC주소로 로그인하는 머신을 파악하여 로그이 머신이 달라진 것을 확인 할 수 있음
로그온 시간대와 지역 등으로 이상 여부를 파악
로컬로 로그온 하려면 로컬 컴퓨터 해당 사용자가 생성되어져 있어야 함
도메인에서는 모든 사용자를 서버에서 인증하기 때문에
로컬에서 도메인 사용자를 생성해도 도메인의 리소스를 사용할 수 없음, 도메인 사용자는 도메인 서버에서 생성
공유폴더 NTFS, 파일 권한
파일 및 폴더에 대한 액세스를 제한하기 위해 두 가지 권한인 NTFS 권한과 공유 권한을 제공하는데 두 권한은 모두 파일 또는 폴더의 속성 창에서 할당 할 수 있음
공유 폴더 권한은 원격지에서 이 시스템의 접속해서 공유 폴더에 저장된 파일/폴더를 사용할 때 적용
설정 해당 폴더의 속성>고급 공유>권한>공유
NTFS 권한
파일 시스템으로 포맷된 볼륨에 저장된 모든 파일/폴더에 적용
기본적으로 권한은 부모 폴더로부터 상속받고 상속은 비활성화 할 수 있음
NTFS 권한은 HDD 등의 저장장치에 적용되어, 파일/폴더가 로컬 또는 원격에서 액세스 되는지와 상관없이 모두 적용 (데이터가 HDD 위에 있으므로)
NTFS 권한은 기본적으로 읽기, 읽기 쓰기, 수정, 폴더 내용 목록 및 모든 권한에 대한 액세스 수준을 제공
NTS 권한은 HDD의 속성 창> 보안 탭에서 설정 할 수 있음
공유 권한
공유 폴더에만 적용, 원격 시스템에서 네트워크를 통해서 해당 공유 폴더에 액세스할 때 적용되는 권한
특정 공유 폴더에 대한 공유 권한은 해당 폴더 및 그 내용에 적용되는데 공유 권한은 NTFS 권한보다 덜 세분화되어, 읽기, 변경 및 모든 권한의 액세스 수준을 제공
NTFS 와 공유 권한을 조합해서 액세스 조절 할 수 있음
특정 파일에 대한 사용자의 액세스 수준을 결정
1. 파일이 로컬로 액세스 되는 경우 NTFS권한만 적용
2. 파일이 네트워크를 통해서 액세스 되는 경우 NTFS와 공유 권한이 모두 적용, 가장 제한적인 권한이 적용
3.사용자의 개별 권한과 사용자가 속한 그룹의 권한을 조합해서 액세스를 조절할 수 있음
4.사용자는 여러 그룹에 들어갈 수 있고, 여러 권한을 누적해서 더 높은 권한이 있으면 해당 권한을 가지게 됨
5.특정 파일/폴더에 직접 할당된 명시적 권한이 상위 폴더에서 상속된 암묵적 권한보다 우선함
6.명시적 거부 권한은 명시적 허용 권한보다 우선함
파일 공유 권한 설정
파일 공유 권한 설정은 폴더 공유 권한 설정과 같은데 C:\ 위치에 파일 하나를 생성한 뒤 속성에서 공유나 보안 탭에서 앞에서와 같이 사용자/그룹 지정과 권한을 설정해주면 됨
여러 파일을 하나하나 설정하는 것보다 도메인에서 도메인 그룹을 생성해서 권한을 설정하는 것이 우수
로컬에서 그룹을 생성해서 권한을 설정하는 것보다
도메인에서 도메인 그룹을 생성해서 권한을 설정해주는 것이 더 좋음
파일을 이동하거나 복사했을 때 상대방 데스티네이션을 따라감
파일공유 역시 폴더와 동일, 여러 파일들을 일일히 설정하는 것보다 폴더에 설정하는 것이 더 우수
파일> 속성
보안 사용자 권한을 편집하여 USERS 그룹 사용자들은 모든 권한을 갖을 수 있도록 설정
공유하면서 사용자 설정 한 뒤 공유
공유 후 확인 창
사용 권한과 함께 사용자를 그룹에 추가할 경우
파일>속성>보안>편집>추가 사용자 추가 가능
파일 속성
공유 및 저장소 관리
파일 > 속성> 공유 권한 or NTFS
NTFS 권한은 LOCAL로 접속하는 것으로 Everyone에 대해서 모든 권한을 주어야 누구나 들어왔을 때 사용 가능
공유권한은 네트워크 접속이므로 인증된 사용자만 이용할 수 있도록 권한을 설정해주는 것이 좋음
로컬 이름만 같다고 하여 파일을 읽을 수 있는 것이 아니라
공유 권한 때문에 파일을 읽을 수 있음
상속 포기
부모 폴더로 부터 권한 상속을 포기할 수 있음
폴더 속성 보안 고급 보안 사용권한 편집
항목에서 선택한 뒤
아래 개체 부모로부터 상속 가능한 사용권한 포함을 해제 할 경우
비활성화 될 경우 상속을 해제할 수 있음
윈도우 보안창에서 상속 복사 혹은 제거 선택
편집에서의 권한을 수정 할 수 있음
소유권 변경
NTFS 볼륨이나 AD 도메인 내의 모든 개체는 소유권을 가짐, 소유권은 기본적으로 해당 파일/폴더를 생성한 사람이 소유자가 됨
소유자는 해당 개체에 대해서 어떻게 사용권한을 설정할 지, 누구에게 권한을 위임할지 등을 정할 수 있음
소유자는 소유권을 타인에게 주거나 다시 뺏어 올수 있음
소유자는 접근 거부일때도 자신이 생성한 해당 개체에 대해서는 사용 권한을 변경할 수 있음
소유자 권리를 방지하려면 관리자가 사용자가 생성한 파일/폴더에 대한 소유권을 즉시 변경해 두는 것 Administrator 그룹은 파일 또는 기타 개체에 대한 타인의 소유권을 가져오기 권한을 가지고 있음
파일/디렉터리 복원 사용자 권한을 가진 모든 사용자와 그룹도 개체 소유권을 변경할 수 있음
: 개체의 소유권을 가져오려면 Administrator 계정 또는 소유권 가져오기 권한, 파일 또는 디렉터리 복원 사용자 권한이 있는 사용자로 로그인해야 작업할 수 있음
파일/폴더 등 서버 리소스에 대한 소유권 변경 할 수 있음
속성 > 고급 설정 > 고급 보안 설정 중 소유자
필요한 권한이 잇을 경우 개체의 소유권 편집이 가능
사용자를 추가 한 뒤 하위 컨테이너와 개체의 소유자 바꾸기를 체크할 경우
ser2_user2에 상속이 됨
공유폴더>공유
수동으로 공유한 폴더
- ADMIN$: 서버를 원격에서 관리할 때 사용
Windows가 설치된 폴더(시스템 루트인 C:\windows)로 Administrator, Backup Operators, Server Operators 그룹 사용자만 접속 가능 -> 원격관리 - C$:f루트 폴더인 C:\드라이브로써 그룹 사용자만 접속 가능, 기본 공유
- IPC$: 원격관리와 공유된 리소스에 대한 확인에서 사용되는데 통신의 기본이라 삭제는 불가, 원격
- Public 일반적인 공유 폴더, 누구나 접속 가능
