그룹
목차
cminder12901kr
목차
그룹은 동일한 액세스 권한을 일반적으로 공유하는 사용자 집합입니다. 관리자는 그룹에 사용자를 추가하고 그룹에서 사용자를 제거하며 그룹별 시스템 리소스에 대한 액세스를 할당하거나 거부할 수 있습니다. 이런 유형의 그룹은 네이티브 OS 및
Privileged Identity Manager
에 모두 존재합니다.그룹 레코드에는 그룹에 대한 정보가 포함됩니다. 그룹에 저장된 가장 중요한 정보는 그룹 구성원인 사용자 목록입니다.
중요!
그룹 레코드에 대한 권한 부여 규칙은 그룹 계층의 각 사용자에게 재귀적으로 적용됩니다.예를 들어 그룹 A에 사용자 X와 그룹 B라는 두 구성원이 있고, 사용자 Y는 그룹 B의 구성원인 경우, 그룹 A에 대한 권한 부여 규칙을 변경하면 CA Privileged Identity Manager는 그룹 A 계층의 모든 사용자 및 그룹, 즉 사용자 X, 그룹 B 및 사용자 Y에 변경된 부여 규칙을 적용합니다.
그룹 레코드의 정보는
속성
에 저장되고,Privileged Identity Manager
에서 그룹 관리자는 해당 그룹 관리자가 정의된 특정 그룹에 대한 그룹 기능을 관리할 수 있습니다. 그룹 암호 관리자는 그룹 구성원의 암호를 변경할 수 있습니다.보안 정책 및 그룹
사용자 조직에 대한 보안 정책을 개발할 때에는 다음 사항을 결정해야 합니다.
- 보안 관리 용도로 만들 그룹
- 각 그룹에 조인할 사용자
- 그룹 관리자 및 그룹 암호 관리자 정의 여부, 관리자 역할을 부여할 사용자(정의할 경우)
미리 정의된 사용자 그룹
Privileged Identity Manager
에는 사용자가 조인할 수 있는 미리 정의된 그룹이 있습니다. 이러한 그룹은 _restricted 그룹입니다. _Privileged Identity Manager
restricted 그룹의 사용자인 경우, 모든 파일과 레지스트리 키가 에 의해 보호됩니다. 파일이나 레지스트리 키에 명백하게 정의된 액세스 규칙이 없는 경우, 액세스 권한은 해당 클래스(FILE 또는 REGKEY)의 _default 레코드에 의해 처리됩니다._restricted 그룹 사용 시에는 주의해야 합니다. _restricted 그룹의 사용자가 작업을 수행할 충분한 권한을 가지고 있지 않을 수도 있습니다. _restricted 그룹에 사용자를 추가하려면 초기에 경고 모드를 사용해 보십시오. 경고 모드에서는 사용자가 작업하는 데 필요한 파일과 레지스트리 키가 감사 로그에 표시됩니다. 감사 로그를 검사한 다음, 적절한 권한을 부여하고 경고 모드를 해제할 수 있습니다.
리소스 액세스에 대해 미리 정의된 그룹
Privileged Identity Manager
에서 다른 유형의 미리 정의된 그룹은 특정 리소스에 대해 허용되거나 금지된 액세스 유형을 정의합니다. 이러한 그룹으로는 다음과 같은 그룹이 있습니다.- _network(Windows에만 해당) _network 그룹은 특정 리소스에 대한 네트워크의 액세스를 정의합니다. 모든 사용자는 그룹의 구성원인 것처럼 처리되며, 그룹에 사용자를 명시적으로 추가해야 할 필요가 없습니다.예를 들어 특정 리소스는 네트워크에서 읽기만 가능하도록 지정할 수 있습니다. selang을 사용하여 다음과 같이 새 리소스를 정의합니다.newres FILE c:\temp\readonly defaccess(none)그런 다음 네트워크를 통해 허용된 액세스를 지정합니다.authorize FILE c:\temp\readonly gid(_network) access(read)Privileged Identity Manager끝점 콘솔을 사용하여 이 작업을 수행할 수도 있습니다.이제 네트워크에서 c:\temp\readonly를 액세스할 때 사용자들은 네트워크에서 파일을 읽을 수만 있습니다.
- _interactive_interactive 그룹은 리소스가 위치한 컴퓨터에서 특정 리소스에 허용된 액세스를 정의합니다. 예를 들어 네트워크에서 리소스에 대한 액세스가 허용되지 않더라도 파일이 정의된 컴퓨터에는 파일에 대한 READ 액세스 권한을 부여할 수 있습니다.
다음 항목은 매우 중요합니다.
- Privileged Identity Manager에서 _network 그룹과 _interactive 그룹은 서로 연결되지 않습니다. 다시 말하면, _network 그룹에는 네트워크의 특정 리소스에 대한 액세스를 정의하는 규칙이 있을 수 있다는 의미입니다. _interactive 그룹의 다른 규칙은 동일한 리소스에 대한 액세스를 정의할 수 있습니다.
- _network 그룹 및 _interactive 그룹에 사용자를 추가할 필요가 없습니다.
- 이러한 그룹은 데이터베이스에 정의된 모든 Windows 리소스를 보호할 수 있습니다.