2018.02.23-9일차- ①접근 권한

Module 04 : AD DS의 자원에 대한 접근 권한 관리

Lesson 1:   접근 권한(Access Permission)

Lesson 2: NTFS  파일과 폴더 권한 관리

Lesson 3: 공유 자원에 권한 부여하기

 

cf.  batch file 주석 : '::'

 

 

Lesson 1:   접근 권한(Access Permission)

1> 보안 주체(Securit Principals)?

보안주체: 사용자 계정

Security ID(SID) : DomainID + RID ; 계정의 사용자 이름 또는 그룹 이름 보다 SID를 더 선호.

Relative ID(RID) : SID의 한 부분, 도메인에서 계정 or 그룹 구분

 

[cmd]

C:\>whoami /user

사용자 정보
----------------

사용자 이름        SID
================== =============================================
care\administrator S-1-5-21-2563457009-3882236300-2285709293-500

C:\>

 

 

2> 권한(Permission)?

①권한 : 객체에 대한 접근을 허가 or  거부하기 위해 사용되는 규칙. 접근 제어 위함

②권한 부여 방법

- 폴더나 프린터, 파일..,

- 로컬, 도메인 계정

- 직접적 부여 or 상속 or 암시적 권한 설정

③ NTFS 권한?

FAT32 → NTFS

NTFS 권한

- 개체제 사용자, 그룹 또는 컴퓨터가 접근할 수 있는 권한

- 파일 그리고 폴더, 공유폴더, 프린터 같은 개체에 설정

- Active Directory  또는 로컬 컴퓨터에 사용자와 그룹을 이용해 자원에 권한 할당

- 접근시 access token 을 제시해야 한다?

 

ex> usb 포맷 나올때 파일 시스템 설정

포맷?

=> 파일 시스템 탑재 == 포맷

 

3> 접근 제어 목록(Access Control List)

폴더나 파일에 접근시 접근하는 사용자가 접근 가능한지 확인?

- 임의 접근 제어 목록(DACL)

접근 허락, 거부 사용자 그룹 목록 있음.

ex> 폴더나 파일의 보안 탭

- 시스템 접근 제어 목록(SACL)   ☜ 다음 챕터 감사 정책? 에서 다룸

어떤 시스템 행위(이벤트)발생 시 폴더나 파일에 기록 : 로그

- 접근 제어 엔트리(ACE)

보안 탭의 각 객체

cf. 허용, 거부 동시에 지정시, 허용 << 거부 (가 이김~!)

 

4> NTFS 권한 상속(Inheritance)

편하게 폴더.파일 만드려고..,

각각의 객체에 직접 권한을 부여하지 않고 자원에 대한 접근을 관리하기 위해 쓰임.

 

상속차단

- 권한 상속은 차단될 수 있따.

- 파일, 폴더 레벨

 

5> 파일과 폴더의 복사나 이동 시 NTFS 권한 적용

권한 설정후 다른데 옮기면 다 깨져버림!

그런데, 저장소가 같다면(c: → c:)

1) 잘라내고 붙여넣을땐, 기존 권한 + 이동한 곳에서 권한 => 기존 권한(○)

2) 복.붙시, 이동시 이동한 곳에서의 권한을 새로 받음      => 기존 권한(×)

그런데, 저장소가 다르다면(c: → d:)

위 1), 2) 경우에 기존 권한은 다 유지 못함.

저장소 위치가 다 다르므로..,

...

경우의 수

# 상속

같은 드라이브 복사

같은 드라이브 이동 : 목적지에서의 상속도 다 받음

 

다른 드라이브 복사

다른 드라이브 이동

 

# 상속 차단

같은 드라이브 복사

같은 드라이브 이동 : 목적지에서의 상속 못 받음. 이전꺼는 유지??

 

다른 드라이브 복사

다른 드라이브 이동

 

=> 걍 움직이면 권한 다 깨짐..,

 

================================

 

5> 실습1

- 가상 서버에 가상 디스크 추가

- ACL 살펴보기

 

SRV 오.버> settings> 밑에 Add 버튼 클릭

> Hard Disk 선택> Next> Next> 40> Finish

> OK

 

window+r : diskmgmt.msc (디스크 관리)

window+e : 내 컴퓨터

디스크 설정

E:\ 에서 작업

 

상속 비교

연한 회색 : 상속(○), 진한 회색: 상속(×)

비활성화 된거 풀려면 상속차단해야..,(상속 포기)

E:\의 경우는 최상위 이므로 상속 받은게 없음 얘가 부모!

 

- 첫번째 선택 시: 상속차단(포기)

- 두번째 선택 시: administrator 남기고 다 삭제 됨

 

상속 차단 후 설정

사용자 추가

- 도메인 user 추가 시

- 로컬 user 추가 시

[cmd]

Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.

C:\Users\Administrator.CARE>net user

\\SRV103에 대한 사용자 계정

-------------------------------------------------------------------------------
Administrator            Guest                    localUser01
localuser02
명령을 잘 실행했습니다.

C:\Users\Administrator.CARE>net user /add localUser03 P@ssw0rd
명령을 잘 실행했습니다.

C:\Users\Administrator.CARE>net user

\\SRV103에 대한 사용자 계정

-------------------------------------------------------------------------------
Administrator            Guest                    localUser01
localuser02              localUser03
명령을 잘 실행했습니다.

C:\Users\Administrator.CARE>

 

 

6> 실습2

01_복사&amp;이동 실습.txt