7월 4일 Right와 Permission의 차이점

-Right : 빌트인 그룹에 구성원으로 추가한다.

- 관리도구 -> 로컬보안정책 -> 로컬정책 -> 사용자 권한 할당에서 확인할 수 있다.

<실습> 시스템 시간 변경과 시스템 종료 항목에서 user1을 추가하자.

       user1을 추가한 후 user1계정으로서 시간변경과 종료 작업을 해보자.

       시스템 종료 메뉴가 활성화 되는지 확인. 

시스템 종료 권한 설정. 로컬 보안정책- 사용자 권한 할당 - 시스템 종료 실행 - 사용자 또는 그룹 추가

시스템 종료 활성화

''

<실습1>

Srv1서버에 administartor로 로그온하여 폴더A를 생성한 후 공유설정하고 

그 안에 ,관리1과 2를 생성하자.

공유사용권한을 everyone에 대해 읽기로 설정을 하고 보안 user1에게 모든 권한을 할당하였다.

Srv2에서 northwind\user1 계정으로 로그온한 후 폴더A에 연결하여(실행 -> \\Srv1)

파일1과 2에 대해 열어보고, 내용을 추가하여 저장, 파일 삭제 등의 작업을 하자.

어떠한 사용권한을 사용할 수 있는지를 확인하세요. 그리고, 파일3을 생성하시오.

:user1은 어떤 작업을 할 수 있었나요?

everyone 읽기만 설정

user1에게는 모든 권한 

- 파일읽기                             (o)

- 파일생성                             (x)

- 파일을 복사한 후 새로운 파일 생성 (x)

- 파일 삭제                            (x)

- 파일내용 변경 후 저장    (x)

<결론>

공유 사용권한 : 1차 필터의 역할, 네트워크 연결을 했을 때 우선적으로 옹호됨

                만약 공유에서 읽기만 주었다면 보안 사용권한에서 모든 권한을 

주어도 소용이 없다.

보안 사용권한 : 2차 필터 역할. 공유 사용권한에서 모든 권한을 가지고 들어와도

                2차적으로 사용권한을 제어할 수 있다.

만약 공유연결이 아닌 로컬로 직접 로그온하는 경우에도 적용된다.

실무적인 방법

1) 공유 사용권한은 모든 권한으로 설정하자.(공유는 공유 설저의 유무가 중요하므로 

                                              모든 권한을 할당)

2) 보안 사용권한은 로컬로 로그온을 하나, 네트워크 연결을 한는 것과 관계없이 

   무조건 적용된다.

소유자를 administrator가 현재 소유궈이다.  administrator 이외의 다른 계정은 권한이 없다. 

실습2-2>예외적인 항목에 대한 방안

수백개의 파일 중 파일2에 대해 그룹B에게 쓰기 거부를 설정하였다면 user1은 파일2에 대해 

어떤 권한을 가지나?

거부가 허용보다 우선된다. 무조건 거부된다.

<Permission의 종류>

암묵적인 퍼미션         VS     명시적인 퍼미션

Implicitly Permission   VS  Expllicityly Permission

Allow + Revodk              Allow할당 + Deny 거부

 

▶ 명시적 할당 / 거부 = 사용자를 추가한 후 권한을 할당하든지 거부한다.

◎ 거부: 일반적으로 사용권한 설정은 폴더에서 한다. 그러면 폴더 안에 있는 모든 파일에게

         동일한 사용권한이 상속되므로, 파일에 일일히 설정을 해 줄 필요가 없다.

         예외적으로 특정한 파일에 대해서 특정 사용자(그룹)에게만 상속된 사용권한과 달리

         설정을 해야 할 필요가 있는 경우에만 거부를 사용한다.

▶ 암묵적 거부 = 권한을 줄 필요없는 계정이 포함되 그룹은 처음부터 추가할 필요 없다.

★ 상속차단 : 기본적으로 볼륨의 루트에 설정한 사용권하는 하위로 상속이 된다/

      만약 폴더를 생성한다면 디스크 볼륨 루트의 사용권한을 그대로 상속받게 된다.

   상속은 상위에서 주지만, 거부는 하위에서 차단하는 것이다.

              추가: 상속만 차단할 뿐이고, 기존에 사용자, 그룹은 그대로 존재한다.

        단, 사용권한은 변경할 수 있게 된다.

  제거: 모두 제거 후 새로 사용자를 한명씩 추가해야 한다. 

   

<실습1> srv2에서 C:\폴더A\폴더B\폴더C\파일1 을 생성하세요.

        폴더A에 대해 user2 사용자를 추가하여 읽고 쓰기 권한을 부여하세요.

        파일1에는 쓰기 권한을 제거하세요. 상속 차단 (추가/제거)

        하위 폴더들과 파일1에 대해 폴더A의 권한설정이 상속되는지도 확인하세요!!!!!

        테스트: Srv3에서 user2로 로그온하여 권한 테스트하시오.

▶ Permission을 적용하는 방법(Access Control)

  * 사용권한은 상위의 설정이 하위에 상속된다.

    상속된 권한은 상속차단하기 전까지는 변경할 수 없다.

  * 사용권한은 누적(결합)된다.

 (활용)폴더에 설정한 사용권한은 대부분의 파일에게 공통으로 적용될 수 있는 정도

        즉, 최소한의 권한을 부여하고, 각각의 파일에 대해 상세하게 권한을 

추가해주면 된다.

해당 폴더 우클릭 - 보안 탭 - 고급 - 편집 

원래는 이렇게 상속받은 설정을 지울 수가 없다. 그러니 명시적 거부를 사용한다.!!!

<Test>

영업부 OU에 기본값으로 HR과 Sales 그룹을 생성하고,

HR   : user1, user2, user3

Sales: user1, user4, user5 를 각각의 그룹에 구성원을 추가하자.

장그래는 HR과 Sales그룹의 구성원이다. 폴더의 구조는 그림과 같다.

1) 폴더1에 대해 HR그룹은 쓰기 권한, Sales그룹은 읽기 권한이 있다면

   user1는 파일1과 파일2에 대해 어떠한 권한을 가지나? 읽고 쓰기 

   읽기와 쓰기가 결합되고 하위폴더, 파일까지 상속된다.

파일2에서 HR그룹의 쓰기 권한을 제거

2) 폴더1에 대해 HR 그룹은 읽기 권한, Sales그룹은 폴더2에 대해 쓰기 

    권한이 있다면 파일1과 파일2에 대해 User1은 어떤 권한을 가지나?

        읽기             읽고 쓰기

3) HR 그룹에게 폴더1에 대해 수정 권한이 있다. 폴더2에 있는 파일2에 대해 Sales 그룹만이 액세스 가능해야

   하며 권한은 읽기 권한만을 부여하려면 어떻게 해야 하나?

   이 요구사항을 처리하기 위해 가장 짧은 단계가 무엇일까?

   

   - 폴더1 : HR 수정

   - 폴더2 : HR 수정 상속 

   - 파일2 : 수정 상속 / 상속 차단/ HR 그룹 제거 /Sales 추가 후 읽기 권한 할당

아래 파란색 네모를 클릭하면 상속된 설정을 변경 가능하다.