SharePoint Server의 보안 그룹 개요
적용 대상:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
개별 사용자가 아니라 그룹에 사용 권한 수준을 할당하면 SharePoint 사이트의 사용자를 보다 효율적으로 관리할 수 있습니다. SharePoint 그룹은 개별 사용자가 포함된 집합이며, AD DS(Active Directory 도메인 서비스) 그룹도 포함할 수 있습니다.
Microsoft 365의 그룹에 대해 알아봅니다.
소개
AD DS에서는 일반적으로 다음과 같은 그룹을 사용하여 사용자를 구성합니다.
메일 그룹 전자 메일 배포에만 사용되며 보안이 사용하도록 설정되지 않은 그룹입니다. 메일 그룹은 리소스 및 개체에 대한 사용 권한을 정의하는 데 사용되는 DACL(임의 액세스 제어 목록)에 나열할 수 없습니다.
보안 그룹 DACLs에 나열할 수 있는 그룹입니다. 보안 그룹은 전자 메일 엔터티로 사용할 수도 있습니다.
보안 그룹을 SharePoint 그룹에 추가하고 SharePoint 그룹에 대한 권한을 부여하면 보안 그룹을 사용하여 사이트에 대한 권한을 제어할 수 있습니다. 메일 그룹을 SharePoint 그룹에 추가할 수는 없지만 메일 그룹을 확장하고 SharePoint 그룹에 개별 구성원을 추가할 수는 있습니다. 이 방법을 사용하는 경우 SharePoint 그룹과 메일 그룹의 동기화 상태를 수동으로 유지해야 합니다. 보안 그룹을 사용하는 경우에는 SharePoint 응용 프로그램의 개별 사용자를 관리할 필요가 없습니다. 그룹의 개별 구성원 대신 보안 그룹을 포함했으므로 AD DS에서 사용자를 대신 관리합니다.
참고
보안을 쉽게 관리하려면 AD DS 그룹을 관리할 때 다음 작업을 수행하지 않는 것이 좋습니다. > AD DS 그룹에 직접 권한 수준을 할당합니다. > 중첩된 보안 그룹, 연락처 또는 메일 그룹을 포함하는 보안 그룹을 추가합니다.
보안 그룹 추가 여부 결정
SharePoint 그룹에 보안 그룹을 추가하면 그룹과 보안을 중앙에서 관리할 수 있습니다. 보안 그룹에서만 개별 사용자를 관리할 수 있습니다. SharePoint 그룹에 보안 그룹을 추가한 후에는 해당 SharePoint 그룹에서 보안 그룹 구성원을 관리할 필요가 없습니다. 보안 그룹에서 제거된 사용자는 SharePoint 그룹에서도 자동으로 제거됩니다.
그러나 SharePoint 사이트에서 보안 그룹을 사용한다고 해서 수행되는 작업을 모두 확인할 수는 없습니다. 예를 들어 특정 사이트의 SharePoint 그룹에 보안 그룹이 추가되면 사이트가 사용자의 내 사이트에 표시되지 않습니다. 개별 사용자는 사이트에 참가하지 않으면 사용자 정보 목록에 표시되지 않습니다. 또한 보안 그룹의 중첩 구조가 깊은 경우에는 SharePoint 사이트가 손상될 수 있습니다.
위와 같은 장단점을 고려할 때 다음과 같이 하는 것이 좋습니다.
사용자들이 광범위하게 액세스하는 인트라넷 사이트의 경우에는 인트라넷 사이트 홈 페이지에 액세스하는 개별 사용자를 확인하지 않아도 되므로 보안 그룹을 사용합니다.
소수의 사용자가 액세스하는 공동 작업 사이트의 경우에는 SharePoint 그룹에 사용자를 직접 추가합니다. 이 경우 그룹 구성원이 서로의 전자 메일 주소를 알고 서로 연락하는 방법을 알 수 있도록 구성원이 누구인지 알아야 할 필요성이 더 있습니다.
사이트 액세스 권한 부여 시 사용할 보안 그룹 결정
각 조직에서는 서로 다른 방법으로 보안 그룹을 설정합니다. 사용 권한을 더욱 쉽게 관리하려면 보안 그룹이 다음과 같아야 합니다.
SharePoint 사이트에 보안 그룹을 지속적으로 추가하지 않을 만큼 크고 안정적입니다.
적절한 사용 권한을 할당할 수 있을 만큼 작아야 합니다.
예를 들어 "빌드 2의 모든 사용자"라는 이름의 보안 그룹은 2 빌드의 모든 사용자가 계정 수취 담당자와 같은 동일한 작업 기능을 갖지 않는 한 권한을 할당할 만큼 작지 않을 수 있습니다. 이 시나리오는 거의 발생하지 않습니다. 따라서 "미수금 계정"과 같은 더 작고 구체적인 사용자 집합을 찾아야 합니다.
인증된 모든 사용자에게 액세스를 허용할지 여부 결정
도메인 내의 모든 사용자가 사이트의 콘텐츠를 볼 수 있게 하려는 경우 "인증된 모든 사용자"(Domain Users Windows 보안 그룹)에게 액세스 권한을 부여할 수 있습니다. 이 특수 그룹을 사용하면 익명 액세스를 사용하도록 설정할 필요 없이 도메인의 모든 구성원이 선택한 권한 수준에서 웹 사이트에 액세스할 수 있습니다.
익명 사용자에게 액세스를 허용할지 여부 결정
사용자가 페이지를 익명으로 볼 수 있도록 익명 액세스를 설정할 수 있습니다. 대부분의 인터넷 웹 사이트에서는 사이트를 익명으로 볼 수 있도록 허용하지만 사이트를 편집하거나 쇼핑 사이트에서 상품을 구매할 때는 인증을 요청할 수 있습니다. 익명 액세스 권한은 기본적으로 사용하지 않도록 설정되며, 웹 응용 프로그램을 만들 때 웹 응용 프로그램 수준에서 부여해야 합니다.
웹 응용 프로그램에 대한 익명 액세스를 허용하는 경우 사이트 관리자는 사이트 또는 해당 사이트의 콘텐츠에 대한 익명 액세스 권한을 부여할지 여부를 결정해야 합니다.
익명 액세스에는 웹 서버의 익명 사용자 계정이 사용됩니다. 이 계정은 SharePoint 사이트가 아닌 IIS(인터넷 정보 서비스)에서 만들고 유지 관리합니다. 기본적으로 IIS에서 익명 사용자 계정은 IUSR입니다. 익명 액세스를 설정하면 실제로 이 계정에 SharePoint 사이트에 대한 액세스 권한이 부여됩니다. 사이트 또는 목록 및 라이브러리에 대한 액세스를 허용하면 익명 사용자 계정에 항목 보기 권한이 부여됩니다. 그러나 항목 보기 권한의 경우에도 익명 사용자가 수행할 수 있는 작업은 제한됩니다. 익명 사용자는 다음을 수행할 수 없습니다.
Office SharePoint Designer에서 편집할 사이트를 엽니다.
네트워크 환경에서 사이트를 볼 수 없습니다.
위키 라이브러리를 포함한 문서 라이브러리에서 문서 업로드 또는 편집
중요
사이트, 목록 또는 라이브러리에 대한 보안을 강화하려면 익명 액세스를 사용하도록 설정하지 마십시오. 익명 액세스를 사용하는 경우 사용자가 목록, 토론 및 설문 조사를 추가하여 서버 디스크 공간과 기타 리소스를 모두 소모할 수 있습니다. 또한 익명 사용자가 목록, 라이브러리 및 토론에 게시된 콘텐츠와 사용자 전자 메일 주소를 비롯한 사이트 정보를 검색할 수 있게 됩니다.
사용 권한 정책을 사용하면 웹 응용 프로그램에서 일부 사용자 또는 그룹에만 적용되는 일련의 사용 권한을 중앙 집중식으로 구성 및 관리할 수 있습니다. 웹 응용 프로그램에 대한 익명 액세스를 사용하거나 사용하지 않도록 설정하여 익명 사용자에 대한 사용 권한 정책을 관리할 수 있습니다. 웹 응용 프로그램에 대해 익명 액세스를 사용하도록 설정하는 경우 사이트 관리자는 사이트 모음, 사이트 또는 항목 수준에서 익명 액세스 권한을 부여하거나 거부할 수 있습니다. 웹 응용 프로그램에 대한 익명 액세스를 사용하지 않도록 설정하는 경우 익명 사용자는 해당 웹 응용 프로그램 내의 사이트에 액세스할 수 없습니다.
없음 정책이 없습니다. 이 옵션은 기본 옵션입니다. 사이트 익명 사용자에게는 추가 권한 제한 또는 추가 사항이 적용되지 않습니다.
쓰기 거부 익명 사용자는 사이트 관리자가 익명 사용자 계정에 해당 권한을 부여하려고 하는 경우에도 콘텐츠를 작성할 수 없습니다.
모두 거부 익명 사용자는 사이트 관리자가 자신의 사이트에 대한 익명 사용자 계정 액세스 권한을 특별히 부여하려고 하더라도 액세스할 수 없습니다. 권한 정책에 대한 자세한 내용은 SharePoint Server에서 웹 애플리케이션에 대한 권한 정책 관리를 참조하세요.