로컬 사용자 및 그룹을 사용하면 컴퓨터에 로컬로 저장되는 사용자와 그룹을 만들고 관리할 수 있다.
로컬 사용자 및 그룹에 대한 모법 사례
· 최상의 보안을 유지하려면 컴퓨터에 관리 자격 증명으로 로그온하지 않는 것이 좋다.
· 로컬 컴퓨터의 보안을 더 강화하려면 다음 보안 지침을 구현하는 것이 좋다.
- 로컬 컴퓨터의 Administrators 그룹 구성원은 해당 컴퓨터에 대해 모든 권한을 갖기 때문에 Administrators 그룹의 구성원 수를 제한한다.
- Guest 계정을 사용할 수 없는 상태로 둔다. Guest 계정은 컴퓨터에 실제 계정이 없는 경우에 사용한다. Guest 계정에는 암호가 필요 없으므로 보안상 위험하다. Guest 계정은 기본적으로 사용할 수 없게 설정되어 있으며 이 설정을 그대로 유지하는 것이 좋다.
- Administrator 계정을 사용할 수 없는 상태로 둔다. Administrarot 계정은 기본적으로 사용할 수 없게 설정되어 있으며 이 설정을 그대로 유지하는 것이 좋다.
- 특정 기본 로컬 그룹에 할당된 일부 기본 사용자 권한을 통해 이러한 그룹의 구성원은 사용자 컴퓨터에 대해 관리자 권한을 포함한 추가 권한을 얻을 수 있다. Administrators 및 Backup Operators 그룹의 구성원에 대한 신뢰 수준은 동등해야 한다.
로컬 사용자 및 그룹 개요
로컬 사용자 및 그룹은 하나의 로컬 컴퓨터 또는 원격 컴퓨터를 관리하는 데 사용할 수 있는 관리 도구의 모음인 컴퓨터 관리에 있다. 로컬 사용자 및 그룹을 사용하여 사용자 컴퓨터에 로컬로 저장된 사용자 계정과 그룹을 보호하고 관리할 수 있다. 특정 컴퓨터 및 해당 컴퓨터의 로컬 사용자 계정이나 그룹 계정에만 사용 권한 및 권한을 할당할 수 있다.
로컬 사용자 및 그룹을 사용하면 특정 작업만 수행하도록 권한과 사용 권한을 할당하여 사용자와 그룹을 제한할 수 있다. 권한은 컴퓨터에서 파일 및 폴더 백업이나 컴퓨터 종료와 같은 특정 작업을 수행할 수 있는 권한을 사용자에게 부여한다. 사용 권한은 일반적으로 파일, 폴더, 프린터 등의 개체와 관련된 규칙으로 개체에 액세스할 수 있는 사용자와 액세스 방식을 제어한다.
기본 로컬 그룹
로컬 사용자 및 그룹 MMC(Microsoft management Console) 스냅인에 있는 그룹 폴더는 사용자가 만든 로컬 그룹뿐 아니라 기본 로컬 그룹도 표시한다. 기본 로컬 그룹은 운영 체제를 설치할 때 자동으로 만들어진다. 로컬 그룹에 속한 사용자에게는 해당 로컬 컴퓨터에서 다양한 작업을 수행할 수 있는 권한과 기능이 부여된다.
로컬 그룹에 로컬 사용자 계정, 도메인 사용자 계정, 컴퓨터 계정 및 그룹 계정을 추가할 수 있다.
다음 표에는 그룹 폴더에 있는 기본 그룹에 대해 설명한다. 또한 각 그룹에 대한 기본 사용자 권한도 나와 있다. 이러한 사용자 권한은 로컬 보안 정책에서 할당된다.
| 그룹 | 설명 | 권한 |
| 관리자 | 이 그룹의 구성원은 컴퓨터에 대한 모든 권한을 가지며 필요한 경우 사용자 권한과 액세스 제어 권한을 사용자에게 할당할 수 있다. |
- 네트워크에서 이 컴퓨터에 액세스 - 프로세스에 대한 메모리 할당량 조정 - 로컬 로그온 허용 - 원격 데스크톱서비스를 통한 로그온 허용 - 파일 및 디렉토러 백업 - 트래버스 검사 무시 - 시스템 시간 변경 - 시간대 변경 - 페이지 파일 만들기 - 전역 개체 만들기 - 기호 링크 만들기 - 프로그램 디버그 - 원격 시스템에서 강제 종료 - 인증 후 클라이언트 가장 - 예약 우선 순위 증가 - 장치 드라이버 로드 및 언로드 - 감사 및 보안 로그 관리 - 펌웨어 환경값 수정 - 볼륨 유지 관리 작업 수행 - 프로필 단일 프로세스 - 프로필 시스템 성능 - 도킹 스테이션에서 컴퓨터 제거 - 파일 및 디렉터리 복원 - 시스템 종료 - 파일 또는 기타 개체의 소유권 가져오기 |
| Back Operators | 이 그룹의 구성원은 파일 보호 권한에 관계없이 컴퓨터의 파일을 백업하고 복구할 수 있다. 이것은 백업 수행 권한이 모든 파일 사용 권한보다 우선하기 때문이다. |
- 네트워크에서 컴퓨터 액세스 - 로컬로그온 허용 - 파일 및 디렉터리 백업 - 트래버스 검사 무시 - 일괄 작업으로 로그온 - 파일 및 디렉터리 복원 - 시스템 종료 |
|
Cryptographic Operators |
이 그룹의 구성원은 암호화 작업을 수행할 권한이 있다. | - 기본 사용자 권한 없음 |
| Distributed COM Users | 이 그룹의 구성원은 컴퓨터의 DCOM 개체를 시작, 활성화 할 수 있다. | - 기본 사용자 권한 없음 |
| Guests | 이 그룹의 구성원은 로그온할 때 임시 프로필을 만드는데 이 프로필은 구성원이 로그오프할 때 삭제된다. | - 기본 사용자 권한 없음 |
| IIS_IUSRS | IIS 에서 사용하는 기본 제공된 기룹 | - 기본 사용자 권한 없음 |
| Network Configuration Operators | 이 그룹의 구성원은 TCP/IP 설정을 변경하고 TCP/IP 주소를 갱신 및 해제할 수 있다. | - 기본 사용자 권한 없음 |
| Performance Log Users | 이 그룹의 구성원은 Administrators 그룹의 구성원이 아니어도 원격 클라이언트 혹은 로컬로 컴퓨터의 성능 카운터, 로그 및 경고를 관리할 수 있다. | - 기본 사용자 권한 없음 |
| Performance Monitor Users | 이 그룹의 구성원은 Administrators 그룹이나 Performance Log Users 그룹의 구성원이 아니어도 원격 클라이언트 혹은 로컬로 컴퓨터의 성능 카운터를 모니터링 할 수 있다. | - 기본 사용자 권한 없음 |
| Power Users | 기본적으로 이 그룹의 구성원은 표준 사용자 계정보다 적은 사용자 권한이나 사용권한을 가진다. | - 기본 사용자 권한 없음 |
| Remote Desktop Users | 이 그룹의 구성원은 컴퓨터에 원격으로 로그온할 수 있다. | - 원격 데스크톱 서비스를 통한 로그온 허용 |
| Replicator | 이 그룹은 복제 기능을 지원한다. | - 기본 사용자 권한 없음 |
| Users | 이 그룹의 구성원은 응용 프로그램 실행, 로컬 및 네트워크 프린터 사용, 컴퓨터 잠금과 같은 일반적인 작업을 수행할 수 있다. 이 그룹의 사용자는 디렉터리를 공유하거나 로컬 프린터를 만들 수 없다. |
- 네트워크에서 이 컴퓨터에 액세스 - 로컬 로그온 허용 - 트래버스 검사 무시 - 시간대 변경 - 프로세스 작업 집합 향상 - 도킹 스테이션에서 컴퓨터 제거 - 시스템 종료 |
로컬 사용자 및 그룹은 [ 제어판 - 관리도구 - 컴퓨터 관리 - 로컬 사용자 및 그룹 ] 을 선택하거나 실행창에 'lusrmgr.msc' 을 입력하면 됩니다. 하지만 홈 프리미엄 버전에서는 지원되지 않습니다.
출처) http://technet.microsoft.com/ko-kr/library/cc733008.aspx
'운영체제 관리 > 윈도우(Windows)' 카테고리의 다른 글
| 사용자 관리 - 감사 정책과 감사 정책을 사용하여 로그인 로그 확인(윈도우7) (0) | 2011.11.16 |
|---|---|
| 사용자 관리 - 로컬 보안 정책 패널(윈도우7) (0) | 2011.11.16 |
| 사용자 관리 - 사용자 계정 컨트롤 패널(윈도우7) (0) | 2011.11.16 |
| 리소스 관리 - 윈도우 운영체제의 장치 독립적 작동 개념(디바이스 드라이버) (0) | 2011.11.14 |
| 리소스 관리 - 컴퓨터 관리 컨트롤 패널(윈도우7) (0) | 2011.11.14 |