(1) 사용자 계정 관리

로컬 사용자 및 도메인 사용자 계정

로컬 계정

로컬 사용자 계정

Administrator

계정 잠금 정책 등에 의해 제거되거나 비활성이 불가능하며 로컬 시스템에 대한 관리자를 위한 계정이다.

Guest

보안을 위해 기본적으로 비활성되어 있다. 독립 서버나 AD에서 인증되지 않은 액세스를 허용함으로써 시스템 보안에 결함을 남길 수도 있다. 이전 버전의 윈도우 운영체제들(Windows 95/98/ME)을 위한 네트워크 공유 지원을 위해 암호없이 액세스할 목적으로 제공된다.

로컬 보안 그룹

Administrators

모든 내장된 시스템 특권을 가지고 있다. 사용자와 그룹 만들기, 변경이 가능하며 보안 정책 관리, 프린터 만들기와 시스템 자원에 대한 사용 권한 관리가 가능하다. 로컬 관리자 계정은 제거 불가능하지만 다른 계정을 관리자 계정으로 추가하거나 삭제할 수 있다. 도메인에 연결시 도메인 관리자 계정이 추가되며 제거가능하다.

Backup Operators

파일이나 폴더를 백업할 수 있으나 보안 설정은 변경할 수 없다. 로그온 및 종료를 할 수 있다.

Guests

제한된 액세스를 할 수 있는 멤버.

Power Users

자원 공유를 설정할 수 있으며 사용자와 그룹 계정을 만들 수 있다. 이미 만들어진 사용자 계정의 변경을 불가능하며 관리자와 백업 운영자의 계정은 만들거나 변경할 수 없다. 파일의 소유자(Ownership)가 될 수 없으며 폴더의 백업 및 복구를 할 수 없다. 디바이스의 로드(load)와 언로드(unload)가 불가능하고 보안(security) 및 감사(auditiong) 로그를 관리할 수 없다.

Replicator

도메인에서 파일에 대한 리플리케이터 서비스를 지원하는데 사용된다.

Users

시스템의 로그온과 종료가 가능하고 사용자가 새로 만든 그룹을 관리할 수 있다. 로컬과 네트워크 프린터를 사용할 수 있으나 로컬 프린터를 이용하여 공유 설정은 할 수 없다. 도메인에 시스템이 추가되면 도메인 로컬 사용자 그룹의 구성원에 포함된다.

 

내장된 (Built-in) 로컬 보안 그룹

로컬 사용자 및 그룹 관리 도구에서 표시되지는 않지만 시스템 관리를 위해 내장된 로컬 그룹이다.

Everyone(모든 사용자)

Guest 계정을 포함한 컴퓨터에 액세스하는 모든 사용자를 포함한다.

Authenticated Users(인증된 사용자)

로컬 보안 계정 사용자. 익명 사용자의 자원 액세스를 금지하기 위해 Everyone 그룹에 권리와 권한을 설정하기 보다는 Authenticated Users 그룹을 사용하는 것이 안전하다.

Creator Owner(소유자)

자원에 대한 생성이나 소유권 가져오기를 할 수 있는 사용자 계정이며 관리자 그룹의 구성원인 경우 자원에 대한 소유권을 가진다.

Network

원격(remote) 시스템으로부터 액세스한 모든 사용자.

Interactive

로컬 사용자로 액세스한 사용자 계정.

Anonymous Logon(익명 로그인 사용자)

윈도우 운영체제에서 인증되지 않은 사용자.

Dial-up

전화 접속을 이용하여 액세스한 사용자.

 

도메인 계정

그룹 객체

보안 그룹 (Security Group)

보안 목적으로 이용되며 보안 그룹의 멤버들은 DACL(Discretionary Access Control List)에 리스트되어 있다. DACL은 사용자가 리소스로의 액세스에 대한 펴미션의 유무에 대한 리스트이다.

분산 그룹 (Distribution Group)

이메일 분산을 위해 사용된다. 보안이나 펴미션과 연관이 없다.

 

각각의 그룹은 다음 세가지 그룹 범위가 있다.

도메인 로컬 그룹(Domain Local Group)

포리스트(도메인 트리가 모여 양방향 전이 트러스트 관계를 설립)에 있는 모든 도메인의 사용자가 가입할 수 있다. 그러나 사용자는 오직 로컬 도메인 안에서만 리소스를 액세스 할 수 있다.

글로벌 그룹(Global Group)

오직 로컬 도메인내의 사용자만 가입할 수 있다. 그러나 포리스트 안에 있는 모든 도메인의 리소스를 액세스 할 수 있다.

유니버셜 그룹(Universal Group)

로컬 계정과 포리스트 안의 모든 도메인의 사용가 가입할 수 있으며 포리스트 상의 모든 도메인의 리소스에 액세스 할 수 있다. 

이 글은 스프링노트에서 작성되었습니다.