Share via

[Dongclee의 2012년 3월 네 번째 포스팅] Windows Server 8 Series 4 : Access-Denied Assistance을 통해 관리자 및 헬프데스크의 업무를 덜어보세요?

  • Article

 이동철입니다.

바로 직전 포스팅에서 Windows Server 8의 Dynacmic Access Control 기능을 활용한 “Central Access Policy” 시나리오에 대해서 소개했습니다. CAP 시나리오에 이어서, 이번 포스팅에서는 “Access-Denied Assistance” 시나리오를 소개합니다. CAP 시나리오에서 NTFS 및 Share 권한에 추가하여 사용자의 Active Directory 속성을 이용한 미세한 권한 제어가 가능함을 확인했습니다. 그러나, IT 관리자 및 헬프데스크의 주된 업무 부담 중의 하나가 폴더의 접근 거부 상황에 대한 사용자의 문의입니다. 즉, 폴더의 접근 거부 상황에서 사용자는 대부분 전화 및 메신저를 통해서 IT 관리자 나 헬프데스크에 문제 해결을 요청합니다.

Window Server 8 에서는 “Access-Denied Assistance” 기능을 제공하여 이러한 접근 거부에 대한 문의 사항을 메일로 직접 전송할 수 있는 방법을 제공합니다. 아래 그림은 바로 “접근 거부” 시에 기존 Windows 서버에서는 제공하지 않는 “Request Assistance” 버튼이 있음을 확인할 수 있습니다.

본 첨부 문서에서 사용한 데모 환경은 아래와 같습니다.

실제 “Access-Denied Assistance” 기능을 활성화했을 때, 사용자가 사용권한이 없는 폴더를 접근했을 때, 처리되는 절차는 아래와 같습니다.

  1. 사용자가 \\financeshares 에 존재하는 파일을 읽기 시도를 합니다. 그러나 서버는 접근 권한이 없다는 “Access Denied” 오류를 반환합니다.
  2. Windows는 “Access Denied” 다이얼로그 상자를 보여줍니다.
  3. Windows는 파일 서버의 Remediation 서비스로부터 “접근 치유 정보 (Access Remediation Information)”를 찾습니다.
  4. Windows는 사용자에게 “접근 치유 (Access Remediation)” 옵션을 보여줍니다.
  5. 사용자는 공유 폴더에 대한 접근을 요청합니다.
  6. 서버는 공유 폴더 소유자에게 이러한 접근 요청 정보를 메일로 전송합니다.

“Access-Denied Assistance” 기능을 구현하면, 사용자의 “접근 거부”에 대한 문의를 email로 처리할 수 있어, IT관리자 및 헬프데스크의 업무를 줄일 수 있습니다.

Windows Server 8의 신규 기능들이 상당하네요,, 하면 할수록 더욱 재미있네요..

그럼 이만 줄이겠습니다.

Windows 8 Access-Denied Assistance.pdf

Comments

  • Anonymous
    January 01, 2003
    내브님,, 질문 감사합니다. TMG를 통해서 공개할 웹 서버가 IIS라면 그리고, 도메인 죠인된 IIS 라면 위 시나리오가 가능할 것 으로 보입니다. 그러나, NTLM 및 Kerberos 인증이 불가능한 웹 서버라면 TMG 를 통한 위 시나리오는 불가능합니다. 공개할 웹 서버를 먼저 알려주시면 간단한 스텝을 알려 드릴 수 있을 것 같습니다.

  • Anonymous
    January 01, 2003
    msdn.microsoft.com/.../gg430121(v=office.12).aspx 위 링크에서, TMG을 통한 SharePoint를 공개할 수 있습니다. 그런데, 제가 한 가지 착각을 했네요,, TMG를 통한 SharePoint 웹 사이트에 특정 계정에 대한 제한은 가능하지만, 특정 계정은 특정 IP 에서만과 같은 제한은 방법이 없네요... 위 링크의 7번 단계의 "User Sets" 페이지에서 사용자 제어가 가능합니다. 원하는 시나리오가 아니라서 죄송합니다

  • Anonymous
    March 15, 2012
    안녕하세요. 최근들어 포스팅 구경하러 오는 경우가 많이 생겼네요. 다름이 아니고 포스팅을 보던 중 궁금증이 있어 질문을 드리고자 합니다. 해당 포스팅에 대한 내용은 아니고 오래된 포스팅이라 이 포스팅에 남겨야 보실 수 있는 확률이 높다고 생각되서 여기에 질문 드립니다. forefront TMG를 사용하여 아래와 같은 기능 구현이 가능한지 궁금합니다. 계정 : A IP : B 계정 A는 IP B에서만 웹서비스 접근 및 로그인이 가능하며, IP B를 제외한 다른 IP에서는 웹서비스 접근 불가 많은 포스팅 기대하고 있습니다^^;

  • Anonymous
    March 16, 2012
    빠른 답변 대단히 감사합니다. 접근할 웹서버는 IIS이며, 쉐어포인트서버입니다. 대략적인 시나리오는 이렇습니다. AD서버에 TMG / SH 서버가 각각 공인IP로 조인되어 있습니다. 계정 : A / B IP : C / D 계정 A는 IP C에서만 쉐어포인트 웹페이지 로그인이 가능 그 외 모든 IP에서 계정 A는 서비스 불가 계정 B는 IP D에서만 쉐어포인트 웹페이지 로그인이 가능 그 외 모든 IP에서 계정 B는 서비스 불가 이런식으로 다수 계정에 대해 각각의 IP 매칭을 시켜 보안을 강화해보고자 하는 사항입니다. 간단하게라도 스텝 또는 URL 등을 알려주시면 많은 도움되겠습니다.

  • Anonymous
    March 16, 2012
    답변 감사합니다. 제가 문의사항이 미흡했고 이 기능이 가능한지 불투명한 상태에서 시도하는 상황이라 가능 여부를 알려주신 것만으로도 많은 도움을 받았습니다. 빠른 답변 및 도움주신 사항 감사합니다. 저도 실력을 키워서 이동철님처럼 퀄리티있는 포스팅을 하고 싶네요. 자주 지식을 얻으러 들리겠습니다 좋은 주말 보내세요^^