그룹
목차
cminder140kr
목차
그룹은 액세스 권한을 일반적으로 공유하는 사용자 집합입니다. 관리자는 그룹에 사용자를 추가하고 그룹에서 사용자를 제거하며 그룹별 시스템 리소스에 대한 액세스를 할당하거나 거부할 수 있습니다. 이런 유형의 그룹은 네이티브 OS 및
Privileged Access Manager Server Control
에 모두 존재합니다.그룹 레코드에는 그룹에 대한 정보가 포함됩니다. 그룹 레코드에 저장되는 가장 중요한 정보는 그룹 구성원인 사용자의 목록입니다.
중요!
그룹 레코드에 대한 권한 부여 규칙은 해당 그룹의 계층에 있는 각 사용자에게 재귀적으로 적용됩니다.예를 들어 그룹 A에 사용자 X와 그룹 B라는 두 구성원이 있고, 사용자 Y는 그룹 B의 구성원인 경우, 그룹 A에 대한 권한 부여 규칙을 변경하면
Privileged Access Manager Server Control
은 그룹 A 계층의 모든 사용자 및 그룹, 즉 사용자 X, 그룹 B 및 사용자 Y에 변경된 부여 규칙을 적용합니다.그룹 레코드의 정보는
속성
에 저장되고,Privileged Access Manager Server Control
에서 그룹 관리자는 해당 그룹 관리자가 정의된 특정 그룹에 대한 그룹 기능을 관리할 수 있습니다. 그룹 암호 관리자는 그룹 구성원의 암호를 변경할 수 있습니다.보안 정책 및 그룹
조직의 보안 정책을 개발할 때는 다음 사항을 결정하십시오.
- 보안 관리 용도로 만들 그룹
- 각 그룹에 조인할 사용자
- 그룹 관리자 및 그룹 암호 관리자 정의 여부, 관리자 역할을 부여할 사용자(정의할 경우)
미리 정의된 사용자 그룹
Privileged Access Manager Server Control
에는 사용자를 조인할 수 있는 미리 정의된 그룹이 있습니다. 이러한 그룹은 _restricted 그룹입니다. _restricted 그룹의 사용자인 경우, 모든 파일과 레지스트리 키가 Privileged Access Manager Server Control
에 의해 보호됩니다. 파일이나 레지스트리 키에 명시적으로 정의된 액세스 규칙이 없는 경우에는 액세스 권한이 해당 클래스(FILE 또는 REGKEY)의 _default 레코드로 처리됩니다._restricted 그룹 사용 시에는 주의해야 합니다. _restricted 그룹의 사용자가 작업을 수행할 충분한 권한을 가지고 있지 않을 수도 있습니다. _restricted 그룹에 사용자를 추가하려면 초기에 경고 모드를 사용해 보십시오. 경고 모드에서는 사용자가 작업하는 데 필요한 파일과 레지스트리 키가 감사 로그에 표시됩니다. 감사 로그를 검사한 후에는 적절한 권한을 부여하고 경고 모드를 해제하십시오.
리소스 액세스에 대해 미리 정의된 그룹
Privileged Access Manager Server Control
에서 다른 유형의 미리 정의된 그룹은 특정 리소스에 대해 허용되거나 금지된 액세스 유형을 정의합니다. 이러한 그룹으로는 다음과 같은 그룹이 있습니다.- _network(Windows에만 해당) _network 그룹은 특정 리소스에 대한 네트워크의 액세스를 정의합니다. 모든 사용자는 그룹의 구성원인 것처럼 처리되며, 그룹에 사용자를 명시적으로 추가해야 할 필요가 없습니다.예를 들어 특정 리소스는 네트워크에서 읽기만 가능하도록 지정할 수 있습니다. selang을 사용하여 다음과 같이 새 리소스를 정의합니다.newres FILE c:\temp\readonly defaccess(none)그런 다음 네트워크를 통해 허용된 액세스를 지정합니다.authorize FILE c:\temp\readonly gid(_network) access(read)Privileged Access Manager Server Control끝점 관리를 사용하여 이 작업을 수행할 수도 있습니다.이제 네트워크에서 c:\temp\readonly를 액세스할 때 사용자들은 네트워크에서 파일을 읽을 수만 있습니다.
- _interactive_interactive 그룹은 특정 리소스가 상주하는 컴퓨터에서 해당 리소스에 허용되는 액세스를 정의합니다. 예를 들어 네트워크에서 리소스에 대한 액세스가 허용되지 않더라도 파일이 정의된 컴퓨터에는 파일에 대한 READ 액세스 권한을 부여할 수 있습니다.
다음 항목은 매우 중요합니다.
- Privileged Access Manager Server Control에서 _network 그룹과 _interactive 그룹은 서로 연결되지 않습니다. 다시 말하면, _network 그룹에는 네트워크의 특정 리소스에 대한 액세스를 정의하는 규칙이 있을 수 있다는 의미입니다. _interactive 그룹의 다른 규칙은 동일한 리소스에 대한 액세스를 정의할 수 있습니다.
- _network 그룹 및 _interactive 그룹에 사용자를 추가할 필요가 없습니다.
- 이러한 그룹은 데이터베이스에 정의된 모든 Windows 리소스를 보호할 수 있습니다.