Windows 권한

Windows 권한은 개별 사용자 계정이나 그룹에 할당할 수 있습니다. 관리자는 chusr 또는 editusr 명령을 사용하여 사용자에게 권한을 할당하거나, chgrp 또는 editgrp 명령을 사용하여 그룹에게 권한을 할당할 수 있습니다. 그룹에 추가된 사용자는 그룹에게 할당된 모든 권한을 자동으로 얻게 됩니다.
cminder12901kr
Windows 권한은 개별 사용자 계정이나 그룹에 할당할 수 있습니다. 관리자는 chusr 또는 editusr 명령을 사용하여 사용자에게 권한을 할당하거나, chgrp 또는 editgrp 명령을 사용하여 그룹에게 권한을 할당할 수 있습니다. 그룹에 추가된 사용자는 그룹에게 할당된 모든 권한을 자동으로 얻게 됩니다.
권한 또는 사용자 권한의 이름은 목록에 나타난 이름과 동일한 이름을 사용할 수 있으며, 이름 앞에는 Se를 추가하고 이름 끝에는 Privilege를 추가할 수 있습니다. 그러나 BatchLogon, InteractiveLogon, NetworkLogon 및 ServiceLogon의 경우에는 Privilege 대신 Right를 추가합니다.
다음은 Windows에서 사용 가능한 권한입니다.
권한
기본 할당
설명
AssignPrimaryToken
없음
사용자가 프로세스의 보안 액세스 토큰을 수정할 수 있습니다.
Audit
없음
보안 감사를 생성합니다.
Backup
관리자 백업 운영자
사용자가 파일과 디렉터리를 백업할 수 있습니다. 이 권한은 모든 파일 및 디렉터리 권한을 대체합니다.
BatchLogon
없음
사용자가 배치 작업으로 로그인할 수 있습니다.
ChangeNotify
모든 사용자
일반적으로 파일과 하위 디렉터리에 대한 권한은 하향식으로 적용됩니다. 다시 말하면, 특정 디렉터리에 대한 권한이 없는 사용자는 해당 디렉터리 아래의 하위 디렉터리를 액세스할 수 있는 권한도 가지지 않습니다. 이 권한으로 사용자는 상위 디렉터리에 대한 권한이 없더라도 하위 디렉터리를 액세스할 수 있습니다.
CreatePagefile
없음
사용자가 페이지 파일을 작성할 수 있습니다. 보안은 다음 키에 대한 사용자의 액세스에 의해 결정됩니다.
\CurrentControlSet\Control\SessionManagement
CreatePermanent
없음
사용자가 \\Device와 같은 특수 영구 개체를 작성할 수 있습니다.
CreateToken
없음
토큰 개체를 작성합니다. 로컬 보안 기관(LSA)만 이 작업을 수행할 수 있습니다. 로컬 보안 기관(LSA)은 사용자가 시스템을 액세스할 수 있는 권한을 가지고 있는지 확인합니다. 이 권한의 사용을 감사할 수 없습니다. C2 인증의 경우 어떤 사용자에게도 할당하지 않을 것을 권장합니다.
Debug
관리자
스레드와 같은 개체 또는 프로그램을 디버그합니다. 이 권한을 감사할 수 없습니다. C2 인증의 경우 시스템 관리자를 포함한 어떤 사용자에게도 할당하지 않을 것을 권장합니다.
IncreaseBasePriority
관리자, 고급 사용자
사용자가 프로세스의 실행 우선 순위를 높일 수 있습니다.
IncreaseQuota
없음
사용자가 개체 할당량을 증가시킬 수 있습니다.
InteractiveLogon
대부분의 그룹
사용자가 대화식으로 로그인할 수 있습니다.
LoadDriver
관리자
사용자가 장치 드라이버를 설치하고 제거할 수 있습니다.
LockMemory
없음
사용자가 PAGEFILE.SYS와 같은 백업 저장 파일에 페이지가 자동으로 백업될 수 없도록 컴퓨터의 메모리에서 페이지를 잠글 수 있습니다.
MachineAccount
없음
사용자가 도메인에 새 컴퓨터를 추가할 수 있습니다.
NetworkLogon
모든 사용자
사용자가 네트워크의 모든 장소에서 컴퓨터에 연결할 수 있습니다. 이것은 사용자가 자신의 컴퓨터에 로그인하기 위해 정해진 위치나 터미널에 없어도 된다는 의미입니다.
ProfileSingleProcess
관리자, 고급 사용자
사용자가 단일 프로세스의 성능을 모니터하기 위해 성능 모니터 도구를 사용할 수 있습니다.
RemoteShutdownPrivilege
관리자, 고급 사용자
사용자가 Windows 시스템을 원격으로 종료할 수 있습니다.
Restore
관리자 백업 운영자
사용자가 백업 파일 및 디렉터리를 복원할 수 있습니다. 이 권한은 모든 파일 및 디렉터리 권한을 대체합니다.
보안
관리자
사용자가 감사할 리소스 액세스(예: 파일 액세스)의 유형을 지정하고 보안 로그를 보거나 삭제할 수 있습니다.
참고:
이 권한으로는 사용자가 Microsoft의 사용자 관리자에 있는 "정책" 메뉴에서 "감사" 명령을 사용하여 시스템 감사 정책을 설정할 수 없습니다. 관리자는 항상 보안 로그를 보고 삭제할 수 있습니다.
ServiceLogon
없음
프로세스를 서비스로 시스템에 등록할 수 있습니다.
Shutdown
관리자, 백업 운영자, 모든 사용자, 고급 사용자, 사용자
사용자가 시스템 콘솔에서 시스템을 종료할 수 있습니다.
SystemEnvironment
관리자
사용자가 시스템 환경 변수를 수정할 수 있습니다. 이렇게 하면 사용자는 자신의 워크스테이션에서 시스템 환경을 설정하고 동일한 워크스테이션에서 작업하는 다른 모든 사용자가 동일한 설정을 사용할 수 있습니다.
SystemProfile
관리자
사용자가 시스템에서 프로필링(성능 샘플링)을 수행할 수 있습니다.
SystemTime
관리자, 고급 사용자
사용자가 컴퓨터 시계의 시간을 설정할 수 있습니다.
TakeOwnership
관리자
사용자가 컴퓨터의 파일, 디렉터리, 프린터 및 기타 개체의 소유자가 될 수 있습니다. 이 권한은 개체를 보호하는 모든 권한을 대체합니다.
Tcb
없음
트러스트되는 안전한 운영 체제의 일부로 프로세스를 실행할 수 있습니다. 일부 하위 시스템에 이 권한이 부여됩니다.