Authentication, Authorization, Permission

• 공유폴더의 권한 정의
  • 아래 그림과 같이 User가 FileServer의 "Root\A\1.txt" 파일에 접근할 때에는 A폴더에 접근 가능한 계정과 패스워드를 입력해야 합니다. (Workgroup환경)

    

       

  • A폴더의 공유 권한은 "김두호 : 읽기/쓰기", "유기승 : 읽기" 입니다. B폴더의 공유권한은 "김두호 : 읽기", "유기승 : 읽기" 입니다. 1.txt파일을 B폴더로 복사(copy)한다면 1.txt파일에 대한 "김두호"님의 권한도 읽기로 설정됩니다. 파일을 복사할 경우 복사되는 대상 폴더의 권한을 상속받기 때문입니다.

    

     

  • A폴더의 공유 권한은 "김두호 : 읽기/쓰기", "유기승 : 읽기" 입니다. B폴더의 공유권한은 "김두호 : 읽기", "유기승 : 읽기" 입니다. 1.txt파일을 B폴더로 이동(Move)한다면 1.txt파일에 대한 "김두호"님의 권한은 여전히 읽기, 쓰기로 설정됩니다. 동일 파티션에서 파일을 이동할 경우 원래 파일의 권한이 그대로 적용됩니다. 즉 이동되는 대상 폴더의 권한을 상속받지 않습니다.

       

    

     

  • 기술지원팀에 "김두호", "유기승"님이 포함되어 있습니다. A폴더의 공유 권한은 "기술지원팀 : 읽기/쓰기", "김두호 : 일기/쓰기", "유기승 : 읽기" 입니다. 이 경우 유기승님의 공유권한은 읽기/쓰기가 됩니다. 권한은 그룹에 적용된 권한과 사용자의 권한이 함께 적용됩니다.

    

       

  • 기술지원팀에 "김두호", "유기승"님이 포함되어 있습니다. 기술지원팀의 "김두호:님은 읽기 거부권한을 가지고 있습니다. A폴더의 공유 권한은 "기술지원팀 : 읽기/쓰기", "김두호 : 일기/쓰기", "유기승 : 읽기" 입니다. 이 경우 A폴더에 대한 모든 권한은 읽기거부가 됩니다. 거부권한은 모든 권한에 우선하기 때문입니다.

    

     

  • 공유폴더 A에 대해 "김두호"님이 네트워크 드라이브로 접근을 시도하게 되면 "김두호"님은 읽기 권한을 가지게 됩니다. 기본적으로 공유 권한과 보안 권한은 두 권한 중 적은 권한이 적용됩니다.

    

       

  • 공유폴더 A에 대해 "김두호"님이 로컬 로그온으로 액세스하게 되면 "김두호"님은 읽기/쓰기 권한을 가지게 됩니다. 로컬로 로그온할 경우 공유 권한은 적용되지 않습니다.

    

       

• 이상적인 권한 설정 방법
  • AD 환경이 아닌 경우 공유폴더마다 아래와 같이 일일이 사용자 권한을 입력해야 합니다.

    파일 또는 폴더에 아래와 같은 사용자들이 입력되면 성능에 문제가 있을 뿐더러 추가 사용자 또는 사용자의 부서가 바뀔 경우 권한에 대한 관리의 어려움이 생기게 됩니다.

폴더명	공유권한	보안권한
A	User1 R/W User2 R User3 R/W User4 R User5 R/w . . .	User1 R User2 R User3 R User4 R User5 R     . .

   

• 아래와 같이 공유 권한을 인증된 사용자로 주고 보안권한만 식별하게 된다면 파일 및 폴더에 공유에 대한 성능 문제는 해결이 됩니다. 그러나 여전히 관리의 문제가 남게 됩니다.

폴더명	공유권한	보안권한
A	인증된 사용자. . . .	User1 R/W User2 R User3 R/W User4 R User5 R . . .

   

• 보안의 기본은 필요한 최소의 권한을 부여해야 한다는 것입니다.

  아래와 같이 AD에서 권한별 그룹을 만듭니다. Group1 읽기/쓰기, Group2 읽기, Group3 모든 권한, 권한별 그룹에 사용자들을 포함하면 성능의 문제 및 관리의 문제가 쉽게 해결 됩니다. 혹 사용자 이동이 있을지라도 AD Group에서만 이동하면 됩니다.

폴더명	공유권한	보안권한
A	인증된 사용자. . . .	Group1 (R/W) Group2 (R). Group3 (All Permission)     .