관리 메뉴

MY IT Life

도메인 환경에서의 Windows 7 관리 : 인증과 권한 본문

02. Microsoft/ActiveDirectory

도메인 환경에서의 Windows 7 관리 : 인증과 권한

검짱돌이 2013. 5. 2. 17:14

도메인 내에서 사용하는 두 가지 중요한 보안 원칙은 인증(Authentication)과 권한(Authorization) 부여에서 시작됩니다. 인증은 사용자를 식별하는데 사용되며 권한부여는 사용자 접근을 제어하는데 사용됩니다.

   

예를 들어 Joe에게 도메인 계정을 부여한다면 Joe는 인증을 사용하여 도메인 계정으로 로그온 할 수 있습니다. 그러나 Joe가 도메인에 로그인 할 수 있기 때문에 도메인에 있는 모든 리소스를 사용할 수 있는 것을 아닙니다.

대신 그의 계정에는 특정 리소스에 대한 접근권한을 바탕으로 그가 필요로 하는 정보에 접근할 수 있는 권한이 부여되게 됩니다.

   

[인증 (Authentication)]
인증은 사용자의 신원을 증명하는데 사용됩니다. 일반적으로 인증에는 세 가지 요소가 있습니다.

  • 알고 있는 정보

    사용자의 이름과 암호를 도메인 사용자의 계정으로 구현할 수 있습니다. 사용자가 그들의 이름과 암호를 아는 도메인 인증을 사용할 수 있습니다.

  • 가지고 있는 정보

    스마트카드의 사용은 점점 더 증가하고 있습니다. 스마트카드는 신용카드 사이즈로 리더기에서 인식됩니다. 사용자는 카드를 리더기에 넣고 사용자 식별번호(PIN)를 이용해 인증을 받게 되고 도메인 내에서 스마트카드를 도메인 사용자 계정과 연동할 수 있습니다.

  • 지니고 있는 정보

    생체 인식을 통해 사용자의 신원을 증명할 수 있습니다. 사용자는 자신의 손가락을 리더기에 인식하는 과정을 통해 인증을 받게 됩니다. 생체 인식의 다른 방법으로는 망막, 핸드 스캐너가 포함됩니다.

다중인증 방식은 위에서 언급한 인증요소를 하나 이상 사용합니다. 예를 들면 PIN번호와 스마트카드를 함께 사용하는 경우 이 방식에 포함됩니다.

   

   

[권한 (Authorization)]

인증된 사용자 계정에 따라 허가와 인증이 부여됩니다. 사용자가 로컬 관리자 계정으로 로그온 하는 경우 그들은 제한된 권한 만큼의 리소스와 접근만을 사용할 수 있습니다.

권리(Permission)와 권한(Authorization)은 다른 방식으로 동작합니다. 그러나 종종 함께 사용되는 경우가 있습니다. 권리(Permission)는 사용자가 시스템에서 어떠한 것을 할 수 있는지를 확인하고 권한(Authorization)은 사용자가 액세스 할 수 있는 리소스를 식별해 줍니다.

아래 그림은 로컬 보안 정책에서 사용자 권한(Authorization)을 할당하는 페이지를 보여줍니다. 이것은 로컬로 로그 파일과 디렉터리를 백업하고, 시스템 시간을 변경하는 등 사용자가 시스템에서 수행할 수 있는 권한설정 작업을 보여줍니다.

   

   

[Built-in 그룹]

권리(Permission)와 권한(Authorization)을 개별 사용자 계정에 할당할 수 있지만 일반적으로 그룹에 더 많이 할당하게 됩니다. 사용자가 그룹의 구성원일 때 그룹에 권리(Permission)와 권한(Authorization)을 부여하는 경우 이러한 권리(Permission)와 권한(Authorization)은 사용자에게 상속됩니다.

Windows 7과 Windows 도메인은 모두 그룹을 포함하고 있습니다. 아래 그림은 로컬 시스템에서의 그룹과 도메인에 있는 그룹 설정을 보여줍니다. 각각의 그룹은 시스템과 도메인에서의 동작을 수행하기 위한 구체적인 권리(Permission)와 권한(Authorization)이 포함되어 있습니다.

   

관리 도구 메뉴를 통하거나 내 컴퓨터 아이콘의 오른쪽 마우스를 클릭하여 로컬 시스템 그룹을 확인할 수 있습니다. 또한 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터 콘솔을 통해 그룹에 포함된 도메인 확인 할 수 있습니다.

Built-in 그룹은 아래와 같은 그룹으로 구성되어 있습니다.

  • Administrator (로컬)

    로컬 컴퓨터에서 Administrators 그룹 (Windows 7의 컴퓨터 포함)은 로컬 컴퓨터에 대해 모든 권한을 가집니다. 로컬 administrator 계정은 이 그룹의 구성원이며 Windows 7이 처음 설치 될 때 생성됩니다.

  • Administrators (도메인)

    도메인 관리자 그룹의 구성원은 도메인에 있는 컴퓨터를 이용할 수 있습니다. 도메인의 administrator 계정, Domain Admins 그룹, Enterprise Admins 그룹은 기본적으로 도메인 administrators 그룹의 구성원입니다.

  • Domain Admins

    Domain Admins 그룹의 사용자는 도메인에서 모든 권한을 가집니다. Domain Admins 그룹은 로컬 컴퓨터가 도메인에 가입될 때 자동으로 로컬 컴퓨터의 administrators 그룹에 추가됩니다. 또한 이 그룹은 도메인의 Administrators 그룹에 추가됩니다.

  • Enterprise Admins

    Enterprise Admins 그룹의 사용자는 포리스트에서 모든 권한을 가집니다. 포리스트는 하나 이상의 도메인으로 구성되어 있으며, 이 그룹의 사용자는 포리스트의 모든 도메인에 대한 추가, 제거, 관리 권한을 가집니다. Enterprise Admins 그룹은 포리스트의 모든 도메인의 도메인 Administrators 그룹 구성원입니다.

  • Power User

    Power User는 이전 버전과의 호환성을 위해 추가된 로컬 그룹입니다. 이 그룹은 기존 운영 체제에서 사용자를 Administrators 그룹에 추가하지 않고 사용자 추가 권한을 부여하기 위해 사용됩니다.

  • Server Operator

    도메인 컨트롤러에만 있는 특별한 그룹입니다. Server Operator 그룹은 도메인 수준에서 특별한 권한을 부여하지 않고 도메인 컨트롤러를 관리할 수 있는 권한이 부여됩니다.

  • Backup Operator

    이 그룹에는 백업과 복구를 수행할 권한이 부여됩니다.

   

   

[사용자를 그룹으로 조직화]

특별한 요구 사항을 만족하는 그룹을 생성할 수 있습니다. 드물기는 하지만 Windows 7과 같은 로컬 환경에서 그룹을 생성하기도 하며 일반적으로 도메인 환경에서 이러한 그룹을 생성하고 관리합니다.

예를 들면 Sally, Bob, Alice는 영업부서(G_Sales)에 속해 있습니다. G_Sales라는 그룹을 생성하여 각 사용자 계정을 G_Sales 그룹에 할당합니다. 이제 각각의 사용자들은 FS1의 SalesData 공유폴더에 접근할 수 있습니다.

 

개별 계정에 권한을 부여하는 대신 그룹에 권한을 부여하게 됩니다. 사용자가 그룹의 구성원이기 때문에 그룹에 할당된 권한과 동일한 권한을 가지게 됩니다.

그룹을 만들어서 관리하게 되면 초기에 그룹에 대한 계획과 디자인을 해야 하지만 장기적인 관점으로 보았을 때 개별 사용자에게 권한을 부여하지 않고 그룹에 권한을 할당함으로써 작업에 대한 부담과 시간을 절약할 수 있습니다.

사용자가 한 명인 그룹이라고 하더라도 이렇게 작업하는 것이 유리합니다. 예를 들어 HR부서에 직원이 Sam 한명일 경우 Sam계정에 권한을 할당하는 것 보다 HR부서에 권한을 할당하는 것이 더 좋습니다. 이렇게 함으로써 Sam이 퇴사하거나 승진하는 경우에도 HR부서에 대한 권한을 따로 할당할 필요가 없기 때문입니다.

   

   

[그룹 범위(Group Scope)와 그룹 종류(Group Type)]

도메인에서 만든 그룹에는 그룹 범위(scope)와 그룹 종류(Type)가 있습니다. Active Directory 사용자 및 컴퓨터에서 그룹을 만들 수 있습니다.

   

그룹 범위는 아래 3가지 종류가 있습니다.

  • 도메인 로컬(Domain Local)

    도메인 로컬 그룹은 간혹 규모가 큰 도메인의 관리 모델로 사용되지만 일반적으로 도메인 로컬 그룹은 특정한 리소스에 할당된 권한(permission)을 정의하기 위해 사용됩니다. 예를 들어 DL_Print_ClrLaserPrinter 그룹이라는 도메인 로컬 그룹에 컬러 레이저 프린터에 대한 권한을 할당할 수 있습니다. 도메인 로컬 그룹은 일반적으로 하나 이상의 글로벌 그룹을 포함하고 있으며, 유니버설 그룹을 포함할 수도 있습니다.

  • 글로벌(Global)

    Global 그룹은 일반적으로 사용자를 조직화하기 위해 사용됩니다. 예를 들어 G_Sales 라는 글로벌 그룹에 영업 부서의 모든 사용자를 구성원을 추가할 수 있습니다. 글로벌 그룹은 다른 글로벌 그룹을 구성원으로 포함할 수 있습니다.

  • 유니버설(Universal)

    유니버설 그룹은 다중 도메인 환경에서 사용됩니다. 유니버설 그룹은 도메인의 다른 글로벌 그룹을 포함할 수 있으며, 포리스트의 모든 도메인에 있는 도메인 로컬 그룹의 구성원이 될 수 있습니다.

   

일반적으로 사용되는 명명 규칙은 그룹 범위와 그룹 이름으로 시작하는 것입니다. 예를 들어 글로벌 그룹을 생성하는 경우 "G-"라는 접두사를 사용할 수 있으며 이러한 접두사 뒤에 그룹을 식별할 수 있는 용어("Sales")를 추가할 수 있습니다. 접두사와 실제 그룹 사이에 적절한 구분자를 구성하는 것이 향후 검색과 관리에 유리합니다.

   

그룹 종류는 아래 2가지가 있습니다.

  • 배포(Distribution)

    배포 그룹은 일반적으로 메일 그룹으로만 사용됩니다. 이 그룹에는 권한(permission)을 할당할 수 없습니다.

  • 보안(Security)

    보안 그룹은 권한을 할당하거나 메일 그룹으로 사용할 수 있습니다.

   

글로벌 및 도메인 로컬 그룹을 사용하는 도메인에서는 A-G-DL-P로 알려진 일반적인 전략이 사용됩니다.

   

A-G-DL-P 전략를 사용하는 경우 계정(A)은 글로벌 그룹(G)에 추가 됩니다. 글로벌 그룹은 도메인 로컬(DL)그룹에 추가되고 권한(P)는 도메인 로컬 그룹에 할당됩니다.

위 그림에서 화살표 방향으로 그룹을 추가할 수 있습니다. 계정(A)은 내려가는 화살표를 따라 글로벌 그룹이나 도메인 로컬 그룹에 추가할 수 있으나 화살표 반대 방향인 글로벌 그룹(G)은 계정(A)에는 추가할 수 없습니다. 도메인 로컬(DL) 역시 글로벌 그룹(G)에 추가할 수 없습니다.

사용 권한은 올라가는 화살표를 따라갑니다. 권한이 계정이나 그룹에 직접 할당할 수 있지만 그룹에 권한을 할당하는 것이 매우 권장됩니다. 만약 사용자에게 직접 권한을 할당하게 된다면 관리는 매우 어려워 지게 됩니다.

도메인 로컬 그룹을 사용하게 되면 관리자는 리소스를 중심으로 권한을 쉽게 관리할 수 있게 됩니다. 대부분의 조직에서는 단순히 A-G-P 전략을 사용할 수 있으나 효과적인 관리를 위해서는 A-G-DL-P 전략을 사용하는 것이 좋습니다.

   

[예제]

아래와 같은 환경에서 A-G-DL-P 전략을 사용하여 권한을 부여해 보도록 하겠습니다.

 

  • A-G-DL-P를 아래와 같이 구성합니다.
    • DL-자료실-읽기 (Domain Local - Security)
    • DL-자료실-읽기/쓰기 (Domain Local -Security)
    • G-기업고객사업부 (Global - Security)에 구성원 유기승, 김두호를 할당합니다.
    • G-컨설팅사업부 (Global - Security)에 구성원 전은희, 이희경을 할당합니다.
    • 공유폴더에 DL 권한을 할당합니다.

         

  • 소프트비젼그룹에 Global 그룹을 생성합니다.

       

  • Sales 그룹을 생성합니다.

    그룹이름 : G-Sales / 글로벌 / 보안으로 설정합니다.

     

  • G-Sales 그룹에 유기승, 김두호를 구성원으로 추가합니다.

     

  • G-Sales 그룹에 유기승, 김두호가 추가 되었습니다.

     

  • Consulting 그룹을 생성합니다.

    그룹이름 : G-Consulting / 글로벌 / 보안으로 설정합니다.

     

  • G-Consulting 그룹에 전은희, 이희경을 추가합니다.

     

  • G-Consulting 그룹에 전은희, 이희경이 추가 되었습니다.

     

  • 소프트비젼그룹에 Domain Local (DL)그룹을 생성합니다.

       

  • 공유폴더에 읽기만가 가능한 그룹을 생성합니다.

    그룹이름 : DL-ShareFolder-RO / 도메인 로컬 / 보안으로 설정합니다.

     

  • 공유폴더에 읽기/쓰기가 가능한 그룹을 생성합니다.

    그룹이름 : DL-ShareFolder-RW / 도메인 로컬 / 보안으로 설정합니다.

     

  • 총 4개의 그룹이 생성 되었습니다.

       

  • DL-ShareFolder-RO 그룹에 G-Consulting 그룹을 추가합니다.

     

  • 같은 방법으로 DL-ShareFolder-RW그룹에 G-Sales 그룹을 추가합니다.

     

  • 공유폴더를 만듭니다.

     

  • 속성 > 보안 탭에서 편집을 클릭합니다.

     

  • DL-ShareFolder-RO를 추가한 후 읽기 권한을 할당합니다.

     

  • 같은 방법으로 DL-ShareFolder-RW를 추가한 후 읽기, 쓰기 권한을 할당합니다.

     

  • ShareFolder에 접근 권한입니다.

    G-Sales 유기승, 김두호 읽기 쓰기 가능

    G-Consulting 전은희, 이희경 읽기만 가능