<SID>
- 사용, 그룹, 컴퓨터 계정에 SID로 구분
- SID = [S+[버전]+[인증값]+[도메인 or 컴퓨터 구분번호]+[RID]
| S: SID 구분 버전: 각 버전레벨 인증값: 0~9 (window: 5번) 인식번호: 도메인 또는 로컬컴퓨터 RID: 해당 컴퓨터의 유일한 값 (리눅스의 UID) |
<RID>
| 1) 5xx번대 500: Administrator 501: Guest 2) 1000번부터 일반사용자한테 부여 |
<SID 확인 명령어>
whoami /user : 현재접속사 사용자의 SID 확인
wmic UserAccount Where LocalAccount=True > c:\sid.txt
: 계정정보 중 로컬계정만 sid.txt 저장
wmic UserAccount get name,sid : name, sid필드만 출력
wmic Group get name,sid : 그룹에 대한 name,sid필드만 출력
<Access Token>
| - kerberos의 인증정보의 토큰을 전달 = access token - 다음 로그인시 기존의 토큰을 제시하여 인증 - 토큰정보: User SID, Group SID, user rights, 다른 access정보 |
<ACL>
| DAC(Discretionary Access Control) | 임의적 접근제어 – 소유자나 관리자만이 접근가능하다 |
| RBAC(Role-based Access Control) | 역할기반 접근제어 – 관리자가 할 수 있는 것을 역할로 분할시킨 것 (ex. user1 : 디스크만 관리) |
| MAC(Mandatory Access Control) | 강제적 접근제어 – 중요한 데이터 / 군사목적의 데이터, 계급등급별로 따로 권한접근 가능 |
| DACL 임의적 접근제어목록 - 권한에 대한 접근제어 (읽기, 쓰기등) SACL 시스템 접근제어목록 - 감사에 대한 접근제어 (읽기 성공시 로그남기기 등) ACE 접근제어목록 - 읽기, 쓰기, 실행, 안함 등의 항목목록 |
** System그룹 : administrators보다 높은 등급의 그룹, 커널을 의미
<공유폴더>
- 공유 프로토콜: SMB(Server message block) / NFS (netwokr file system)
- 기본 권한: everyone그룹이 읽기만 가능
<everyone그룹 / Authenticatied usres그룹>
- everyone 그룹: 누구든지 접근할 수 있는 그룹
- Authenticatied usres그룹: AD에 인증된 유저그룹 (보안상 인증그룹이 더 적합)
<공유 및 저장소 관리>
| ADMIN$ / 디스크명$ : 원격관리 공유폴더 IPC$(inter-process communication) : 프로세스간의 통신의 특수한 공유폴더 NETLOGON / SYSVOL : 액티브디렉토리 생성시 자동공유, 그룹정책을 다른 컴퓨터로 전달 |
<실습 공유폴더 설정>
공유설정: 공유 및 저장소 관리 – 공유 구축 – 폴더설정 – 공유이름명(이름$) – 모든권한
| - \\ad.abc.com\share& 접속확인 |
- 디렉토리 검색 통해 공유폴더 찾기 가능 |
<공유폴더 - 권한>
| read (읽기) |
- 파일의 데이터를 볼 수 있는 권한 - 서브폴더를 접근할 수 있다. - 실행파일일 경우에 실행가능 - everyone그룹의 기본 권한 |
| Change (변경) |
- 파일 생성가능 - 기존의 파일 수정 및 삭제 가능 - 파일 또는 폴더를 삭제가능 |
| 전체권한 (FC: Full Control) | - 보안설정 권한을 바꿀 수 있다. |
ex) 공유폴더에 인증된 유저그룹은 읽기권한만 허용된다.
<NTFS의 파일과 폴더의 파일시스템 권한>
| 파일 | 폴더 | |
| 읽기 | 파일내용보기 | 파일, 하위폴더 목록보기 |
| 쓰기 | 파일내용변경 | 파일, 하위폴더 만들기 |
| 읽기&실행 | 읽기+실행 | 읽기+프로그램 실행 (하위파일/폴더상속) |
| 수정 | 읽기/쓰기+파일삭제 | 읽기/쓰기+폴더삭제 |
| 폴더내용보기 | X | 읽기+프로그램 실행 (하위폴더 상속) |
| FC | 읽기/쓰기/수정+보안설정 | 읽기/쓰기/수정+보안설정 |
<공유폴더 고려사항>
1) 권한은 최소한 권한만 준다
2) 개인사용자보다는 그룹으로 권한설정 권장
3) everyone 삭제 / Authenticated users 사용권장
4) Full control 설정 비권장
5) 공유 권한은 FC로 설정하고, NTFS권한으로 제어한다.
(**공유폴더에 있는 컴퓨터에 접속시 공유권한이 의미없으므로)
<특정권한> (special permission)
- 권한에 대한 상세권한 및 특수권한을 설정할 수 있다.
- 보안탭의 고급설정을 통해 할 수 있다.
'IT > OS' 카테고리의 다른 글
| 윈도우서버 서비스 네트워크 (0) | 2024.01.31 |
|---|---|
| 윈도우서버 OU 그룹정책 (0) | 2024.01.31 |
| 윈도우서버 오브젝트 도메인 dsadd (1) | 2024.01.31 |
| 윈도우서버 LDAP 서버역할 OU (0) | 2024.01.31 |
| 윈도우서버 구축 공유폴더 그룹정책 (1) | 2024.01.31 |
