윈도우2008 서버 파일서비스 접근제한(ACL) 설정

이번글은 윈도우2008_R2 서버 접근 제한에 대하여 알아보자!!

접근 제한으로 계정 별로 할당된 폴더에 접근 또는 파일 생성 등을 할 수 있다.

먼저 윈도우에서 접근 제한 권한들을 알아보자!!

1. 읽기 및 실행 

- 파일 이나 폴더 접근이 가능하고 파일을 실행 할 수 있다.

단, 파일이나 폴더를 생성 할 수 없으며 내용 변경도 불가하다.

2. 쓰기

- 통상적으로 읽기 및 실행 권한을 포함하고 있으며

파일 및 폴더 생성이 가능하나 삭제는 불가하다.

주의 할 점은 파일의 내용을 변경할 수 있으니 수정과 다르지 않다.

단, 수정과의 차이점은 파일 이름을 수정할 수 없으며 삭제 불가하다.

3. 수정

- 쓰기의 권한을 모두 포함하고 있으며 파일 삭제 및 이름변경이 가능

모든 권한과의 차이점은 소유권을 변경 할 수 없다는 점이다.

* 권한부여

- 콘솔 접속시에는 보안권한만 적용 (NTFS Permission)

- 네트워크를 통해서 공유폴더 접속시에는 공유권한이 먼저 적용되고 

이 후, 보안권한이 적용된다.

-공유권한과 보안권한의 충돌

Ex1) 공유권한은 읽기, 보안권한은 쓰기인 경우 > 공유권한인 읽기 적용

Ex2) 공유권한은 수정, 보안권한은 읽기의 경우 > 보안권한인 읽기 적용

실습을 한번 해보자!!!!

위와 같이 폴더를 생성하여 폴더마다 계정의 권한을 각각 부여 할 것이다.

아래 조건에 만족하게 설정 해 보자.

1. CEO, Administrator 는 모든 폴더 접근 가능 + 수정 (읽기, 쓰기, 수정)

2. 팀장들은 모든 폴더 읽기 및 실행 가능. 단 팀원들은 본인 소속팀 폴더 읽기 및 실행 가능

3. 팀장들은 자신팀 폴더의 쓰기 권한도 부여

4. 팀장 a는 Sales, Secuirty, Tech 쓰기 가능

5. 팀장 e는 Sales 쓰기 가능

6. 팀장 g는 Security 쓰기 가능

먼저, 윈도우2008 서버 바탕화면에 AWS 폴더를 하나 생성한다.

시작 > 관리도구 > 컴퓨터 관리

들어간 후, 로컬 사용자 및 그룹에 Test용 사용자를 모두 추가해준다. 

( Administrator는 기본적으로 있으므로 추가해주지 않는다. )

이 때, PC상에 나타나는 이름은 사용자이름이 아닌 전체이름이 나타난다.

- 다음 로그온시 사용자가 반드시 암호를 변경해야 함 

( 이 부분의 체크박스를 해제하면 나머지 두 개가 열린다. )

실습의 편의를 위해 위와 같이 설정해 준다.

다 추가 해주면 위와 같이 사용자 목록이 나타날 것이다. 

로컬 사용자 및 그룹 > 그룹

위와 같이 새 그룹을 생성하여 Test 계정들을 모두 넣어준다.

이제 폴더를 공유 해주자

바탕화면에 미리 만들어둔 AWS 폴더의 속성 > 공유 탭에서 

고급 공유 클릭!!

왼쪽이 처음 나오는 화면이다. 모두 회색 글씨일텐데

선택한 폴더 공유 부분 체크박스를 체크해주자

권한 > 추가 하여 

우리가 만든 AWS 그룹을 넣어주고 모든 권한을 부여하자.

이 때, 모든 권한을 부여한 이유는 위에 설명했듯이 

공유권한과 보안권한은 둘 중 작은 것을 따라가므로 

편의상 공유권한을 크게 주고 내부 폴더에 보안권한을 작게 주어 

권한 관리를 더 효율적으로 할 수 있기 때문이다.

AWS 속성 > 보안 > 편집 > 추가

위 경로로 들어가서, 우리가 만들어준 AWS 그룹을 추가시켜주자

내부폴더를 모두 생성해주고 이제 각각의 폴더에 보안권한을 부여해야 한다.

Admin 폴더 > 속성 > 보안 > 편집

에서 Administrators 라는 그룹을 제거 하고 싶지만 

제거 버튼을 눌렀을시 위와 같이 상속되어 있다고 메시지가 나온다.

이 상속을 풀어보자

Admin > 속성 > 보안 > 고급 > 사용 권한 변경

( 처음 들어갔을때는 위와 같이 이 개체의 부모로부터 상속가능한 사용 권한 포함이 비활성화 되어 있다. )

사용 권한 변경을 클릭하여

이 개체의 부모로부터 상속 가능한 사용 권한 포함 > 체크박스 해제해주고

추가 버튼을 누른다. 

( 만약 제거버튼을 누를시엔 다 삭제되니 주의하자! )

이제 Admin 속성 > 편집에서 

Administrators 그룹을 제거 할 수 있다

제거 해주자!!

제거 한 후, Admin에 보안 권한을 가질 수 있는 Test용 계정들을 넣어주어야 한다.

문제를 보면,

< a, b, c, e, g, CEO, Administrator > 

계정들을 추가해주면 된다.

Test용 계정별로 팀원들의 권한, 팀장들의 권한, Administrator와 CEO의 권한을 

구분하여 잘 체크해주자.

각 폴더 별로 설정을 마치고 나면 다른 가상머신 윈도우7을 키자.

실행 > \\<IP> 

위와 같이 입력하여 접속 해 보자.

만약, 상대방의 IP에 다른계정으로 로그인을 하고 싶으면 cmd 창에서

net use /del *

명령어를 사용하고 15초 정도 기다린 후 다시 접속해보자

접속하고 싶은 계정의 아이디와 패스워드를 입력하여 접속하자!!

위와 같이 CEO로 접속했을시엔 모든 폴더에 읽기 및 실행, 쓰기, 수정 권한이 다 있으므로

폴더의 생성, 이름변경, 파일의 내용변경 및 이름변경이 모두 가능하다. 또한 삭제도 가능하다.

윈도우의 접근 제한은 쉽지않다. 본인이 직접 시나리오를 작성하여

처음부터 다시 연습해보는게 가장 좋다