Active Directory 보안 그룹
기본 Active Directory 보안 그룹, 그룹 범위 및 그룹 기능에 대해 알아보세요.
Active Directory의 보안 그룹이란?
Active Directory에는 사용자 계정 및 컴퓨터 계정이라는 두 가지 형태의 일반적인 보안 주체가 있습니다. 이러한 계정은 개인 또는 컴퓨터인 물리적 엔터티를 나타냅니다. 사용자 계정은 일부 애플리케이션에 대한 전용 서비스 계정으로 사용할 수도 있습니다.
보안 그룹은 사용자 계정, 컴퓨터 계정 및 기타 그룹을 관리 가능한 단위로 수집하는 방법입니다.
Windows Server 운영 체제에서 몇 가지 기본 제공 계정 및 보안 그룹은 특정 작업을 수행할 수 있는 적절한 권한과 권한으로 미리 구성됩니다. Active Directory에서 관리 책임은 두 가지 유형의 관리자로 구분됩니다:
서비스 관리자: 도메인 컨트롤러 관리 및 AD DS 구성을 포함하여 AD DS(Active Directory 도메인 Services)의 유지 관리 및 제공을 담당합니다.
데이터 관리자: AD DS 및 도메인 멤버 서버 및 워크스테이션에 저장된 데이터를 유지 관리해야 합니다.
Active Directory 보안 그룹 작동 방식
그룹을 사용하여 사용자 계정, 컴퓨터 계정 및 기타 그룹을 관리 가능한 단위로 수집합니다. 개별 사용자 대신 그룹으로 작업하면 네트워크 유지 관리 및 관리를 간소화할 수 있습니다.
Active Directory에는 두 가지 유형의 그룹이 있습니다:
보안 그룹: 공유 리소스에 권한을 할당하는 데 사용합니다.
배포 그룹: 이메일 배포 그룹을 만드는 데 사용합니다.
보안 그룹
보안 그룹은 네트워크의 리소스에 대한 액세스를 할당하는 효율적인 방법을 제공할 수 있습니다. 보안 그룹을 사용하여 다음을 수행할 수 있습니다.
Active Directory의 보안 그룹에 사용자 권한을 할당합니다.
보안 그룹에 사용자 권한을 할당하여 해당 그룹의 구성원이 도메인 또는 포리스트 범위 내에서 수행할 수 있는 작업을 결정합니다. 관리자가 도메인에서 사용자의 관리 역할을 정의할 수 있도록 Active Directory가 설치될 때 사용자 권한이 일부 보안 그룹에 자동으로 할당됩니다.
예를 들어 Active Directory의 Backup Operators 그룹에 추가하는 사용자는 도메인의 각 도메인 컨트롤러에 있는 파일 및 디렉터리를 백업하고 복원할 수 있습니다. 기본적으로 사용자 권한 Backup 파일과 디렉터리 및 파일과 디렉터리 복원 사용자 권한이 백업 운영자 그룹에 자동으로 할당되므로 사용자는 이러한 작업을 완료할 수 있습니다. 따라서 이 그룹의 구성원은 해당 그룹에 할당된 사용자 권한을 상속합니다.
그룹 정책을 사용하여 보안 그룹에 사용자 권한을 할당하여 특정 작업을 위임할 수 있습니다. 그룹 정책 사용에 대한 자세한 내용은 사용자 권한 할당을 참조 하세요.
리소스에 대한 보안 그룹에 권한을 할당합니다.
사용 권한은 사용자 권한과 다릅니다. 사용 권한은 공유 리소스에 대한 보안 그룹에 할당됩니다. 권한은 리소스에 액세스할 수 있는 사용자와 액세스 수준(예: 모든 권한 또는 읽기)을 결정합니다. 도메인 개체에 설정된 일부 권한은 계정 운영자 그룹 또는 도메인 관리자 그룹과 같은 기본 보안 그룹에 다양한 수준의 액세스를 허용하도록 자동으로 할당됩니다.
보안 그룹은 리소스 및 개체에 대한 권한을 정의하는 DCL(임의 액세스 제어 목록)에 나열됩니다. 관리자는 파일 공유 또는 프린터와 같은 리소스에 대한 권한을 할당할 때 개별 사용자가 아닌 보안 그룹에 해당 권한을 할당해야 합니다. 사용 권한은 각 개별 사용자에게 여러 번 할당되는 대신 그룹에 한 번 할당됩니다. 그룹에 추가된 각 계정은 Active Directory에서 해당 그룹에 할당된 권한을 받습니다. 사용자는 해당 그룹에 대해 정의된 권한을 받습니다.
보안 그룹을 전자 메일 엔터티로 사용할 수 있습니다. 보안 그룹에 전자 메일 메시지를 보내면 그룹의 모든 구성원에게 메시지를 보냅니다.
메일 그룹
메일 그룹을 사용하여 Exchange Server와 같은 전자 메일 애플리케이션을 사용하여 사용자 컬렉션에 전자 메일을 보낼 수 있습니다. 배포 그룹은 보안을 사용할 수 없으므로 DACL에 포함할 수 없습니다.
Group scope
각 그룹에는 도메인 트리 또는 포리스트에서 그룹이 적용되는 범위를 식별하는 범위가 있습니다. 그룹의 범위는 그룹에 대한 네트워크 사용 권한을 부여할 수 있는 위치를 정의합니다. Active Directory는 다음 세 가지 그룹 범위를 정의합니다.
유니버설
전역
도메인 로컬
참고 항목
이러한 세 가지 범위 외에도 Builtin 컨테이너의 기본 그룹에는 Builtin Local의 그룹 범위가 있습니다. 이 그룹 범위 및 그룹 형식은 변경할 수 없습니다.
다음 표에서는 세 가지 그룹 범위 및 보안 그룹으로 작동하는 방법에 대해 설명합니다:
| 범위 | 가능한 멤버 | 범위 변환 | 권한 부여 가능 | 의 가능한 멤버 |
|---|---|---|---|---|
| 유니버설 | 동일한 포리스트에 있는 도메인의 계정 동일한 포리스트에 있는 도메인의 글로벌 그룹 동일한 포리스트에 있는 도메인의 다른 유니버설 그룹 |
그룹이 다른 유니버설 그룹의 구성원이 아닌 경우 도메인 로컬 범위로 변환할 수 있습니다. 그룹에 다른 유니버설 그룹이 없는 경우 글로벌 범위로 변환할 수 있습니다. |
동일한 포리스트 또는 트러스트 포리스트의 모든 도메인에서 | 동일한 포리스트의 다른 유니버설 그룹 동일한 포리스트 또는 트러스트 포리스트의 도메인 로컬 그룹 동일한 포리스트 또는 트러스트 포리스트에 있는 컴퓨터의 로컬 그룹 |
| 전역 | 동일한 도메인의 계정 동일한 도메인의 다른 글로벌 그룹 |
그룹이 다른 글로벌 그룹의 구성원이 아닌 경우 유니버설 범위로 변환할 수 있습니다. | 동일한 포리스트의 도메인 또는 트러스트 도메인 또는 포리스트에서 | 동일한 포리스트에 있는 모든 도메인의 유니버설 그룹 동일한 도메인의 다른 글로벌 그룹 동일한 포리스트의 도메인 또는 신뢰할 수 있는 도메인의 도메인 로컬 그룹 |
| 도메인 로컬 | 모든 도메인 또는 신뢰할 수 있는 도메인의 계정 모든 도메인 또는 신뢰할 수 있는 도메인의 전역 그룹 동일한 포리스트에 있는 모든 도메인의 유니버설 그룹 동일한 도메인의 다른 도메인 로컬 그룹 다른 포리스트 및 외부 도메인의 계정, 전역 그룹 및 유니버설 그룹 |
그룹에 다른 도메인 로컬 그룹이 포함되어 있지 않은 경우 유니버설 범위로 변환할 수 있습니다. | 동일한 도메인 내 | 동일한 도메인의 다른 도메인 로컬 그룹 잘 알려진 SID(보안 식별자)가 있는 기본 제공 그룹을 제외한 동일한 도메인의 컴퓨터의 로컬 그룹 |
특수 ID 그룹
특수 ID 그룹은 특정 특수 ID가 함께 그룹화되는 곳입니다. 특수 ID 그룹에는 수정할 수 있는 특정 멤버 자격이 없지만 상황에 따라 서로 다른 시간에 다른 사용자를 나타낼 수 있습니다. 이러한 그룹 중 일부는 작성자 소유자, Batch 및 인증된 사용자를 포함합니다.
자세한 내용은 특별 신원 그룹를 참조하세요.
기본 보안 그룹
Domain Admins 그룹과 같은 기본 그룹은 Active Directory 도메인을 만들 때 자동으로 만들어지는 보안 그룹입니다. 이러한 미리 정의된 그룹을 사용하여 공유 리소스에 대한 액세스를 제어하고 특정 도메인 전체 관리 역할을 위임할 수 있습니다.
대부분의 기본 그룹에는 그룹 구성원들이 도메인에서 로컬 시스템에 로그온하거나 파일 및 폴더를 백업하는 등의 특정 작업을 수행할 수 있도록 권한을 부여하는 사용자 권한 집합이 자동으로 할당됩니다. 예를 들어 Backup Operators 그룹의 구성원은 도메인의 모든 도메인 컨트롤러에 대한 백업 작업을 수행할 수 있습니다.
그룹에 사용자를 추가하면 사용자는 공유 리소스에 대해 그룹에 할당된 모든 권한을 포함하여 그룹에 할당된 모든 사용자 권한을 받습니다.
기본 그룹은 기본 제공 컨테이너 및 Active Directory 사용자 및 컴퓨터 사용자 컨테이너에 있습니다. Builtin 컨테이너에는 도메인 로컬 범위로 정의된 그룹이 포함됩니다. 사용자 컨테이너에는 전역 범위로 정의된 그룹 및 도메인 로컬 범위로 정의된 그룹이 포함됩니다. 이러한 컨테이너에 있는 그룹을 도메인 내의 다른 그룹 또는 조직 단위로 이동할 수 있지만 다른 도메인으로 이동할 수는 없습니다.
이 문서에 나열된 관리 그룹 중 일부와 이러한 그룹의 모든 구성원은 특정 보안 설명자를 주기적으로 확인하고 적용하는 백그라운드 프로세스로 보호됩니다. 이 설명자는 보호된 개체와 관련된 보안 정보를 포함하는 데이터 구조입니다. 이 프로세스는 관리 계정 또는 그룹 중 하나에서 보안 설명자를 무단으로 수정하려는 시도가 성공하면 보호된 설정으로 덮어쓰도록 합니다.
보안 설명자는 AdminSDHolder 객체에 있습니다. 서비스 관리자 그룹 중 하나 또는 그 구성원 계정에 대한 권한을 수정하려면 일관되게 적용되도록 AdminSDHolder 개체의 보안 설명자를 수정해야 합니다. 이러한 수정은 보호된 모든 관리 계정에 적용되는 기본 설정도 변경하는 것이므로 주의해야 합니다.
기본 Active Directory 보안 그룹
다음 목록에서는 Active Directory의 Builtin 및 Users 컨테이너에 있는 기본 그룹에 대한 설명을 제공합니다.
- Access Control Assistance Operators
- Account Operators
- 관리자
- 허용된 RODC 암호 복제
- Backup Operators
- 인증서 서비스 DCOM 액세스
- Cert Publishers
- 복제 가능한 도메인 컨트롤러
- Cryptographic Operators
- 거부된 RODC 암호 복제
- Device Owners
- DHCP Administrators
- DHCP Users
- Distributed COM Users
- DnsUpdateProxy
- DnsAdmins
- Domain Admins
- 도메인 컴퓨터
- 도메인 컨트롤러 하나 이상
- 도메인 게스트
- 도메인 사용자
- Enterprise Admins
- 엔터프라이즈 키 관리자
- 엔터프라이즈 읽기 전용 도메인 컨트롤러.
- Event Log Readers
- Group Policy Creator Owners
- 게스트
- Hyper-V 관리자
- IIS_IUSRS
- Incoming Forest Trust Builders
- 키 관리자
- Network Configuration Operators
- 성능 로그 사용자
- 성능 모니터 사용자
- Windows 2000 이전 호환 액세스
- Print Operators
- 보호된 사용자
- RAS 및 IAS Servers
- RDS Endpoint Servers
- RDS Management Servers
- RDS Remote Access Servers
- Read-only Domain Controllers
- Remote Desktop Users
- 원격 관리 사용자
- Replicator
- Schema Admins
- Server Operators
- Storage Replica Administrators
- System Managed Accounts
- Terminal Server License Servers
- 사용자
- Windows Authorization Access
- WinRMRemoteWMIUsers_
Access Control Assistance Operators
이 그룹의 구성원은 컴퓨터의 리소스에 대한 권한 속성 및 권한을 원격으로 쿼리할 수 있습니다.
Access Control Assistance Operators 그룹은 기본 Active Directory 보안 그룹 테이블에 나열된 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-579 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Account Operators
계정 운영자 그룹은 사용자에게 제한된 계정 만들기 권한을 부여합니다. 이 그룹의 구성원은 사용자, 로컬 그룹 및 전역 그룹에 대한 계정을 포함하여 대부분의 유형의 계정을 만들고 수정할 수 있습니다. 그룹 구성원은 도메인 컨트롤러에 로컬로 로그인할 수 있습니다.
계정 운영자 그룹의 구성원은 관리자 사용자 계정, 관리자의 사용자 계정 또는 관리자, 서버 운영자, 계정 운영자, 백업 연산자 또는 인쇄 연산자 그룹을 관리할 수 없습니다. 이 그룹의 구성원은 사용자 권한을 수정할 수 없습니다.
계정 운영자 그룹은 기본 Active Directory 보안 그룹 목록의 Windows Server 운영 체제에 적용됩니다.
참고 항목
기본적으로 이 기본 제공 그룹에는 멤버가 없습니다. 그룹은 자체 멤버 자격 및 서버 운영자 그룹의 구성원을 포함하여 도메인에서 사용자 및 그룹을 만들고 관리할 수 있습니다. 이 그룹은 서버 운영자를 수정할 수 있으므로 서비스 관리자 그룹으로 간주됩니다. 그러면 도메인 컨트롤러 설정을 수정할 수 있습니다. 이 그룹의 멤버 자격은 비워 두고 위임된 관리에 사용하지 않는 것이 가장 좋습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-548 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용: SeInteractiveLogonRight |
관리자
Administrators 그룹의 구성원은 컴퓨터에 대한 완전하고 무제한 액세스 권한을 갖습니다. 컴퓨터가 도메인 컨트롤러로 승격되는 경우 Administrators 그룹의 구성원은 도메인에 무제한으로 액세스할 수 있습니다.
Administrators 그룹은 기본 Active Directory 보안 그룹 목록의 Windows Server 운영 체제에 적용됩니다.
참고 항목
Administrators 그룹에는 멤버에게 시스템에 대한 모든 권한을 부여하는 기본 제공 기능이 있습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다. 이 기본 제공 그룹은 해당 도메인의 모든 도메인 컨트롤러에 대한 액세스를 제어하며 모든 관리 그룹의 멤버 자격을 변경할 수 있습니다. 다음 그룹의 구성원은 관리자 그룹 멤버 자격을 수정할 수 있습니다. 기본 서비스 관리자, 도메인의 도메인 관리자 및 Enterprise Admins입니다. 이 그룹에는 디렉터리의 모든 개체 또는 도메인 컨트롤러의 리소스에 대한 소유권을 가져올 수 있는 특별한 권한이 있습니다. 이 계정은 구성원이 도메인의 도메인 컨트롤러에 대한 모든 권한을 가지므로 서비스 관리자 그룹으로 간주됩니다.
이 보안 그룹에는 Windows Server 2008 이후 다음과 같은 변경 내용이 포함됩니다.
기본 사용자 권한 변경: 터미널 서비스를 통한 로그온 허용은 Windows Server 2008에 있었고 원격 데스크톱 서비스를 통해 로그온 허용으로 대체되었습니다.
도킹 스테이션 에서 컴퓨터를 제거가 Windows Server 2012 R2에서 제거되었습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-544 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | 관리자, 도메인 관리자, 엔터프라이즈 관리자 |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 프로세스의 메모리 할당량 조정: SeIncreaseQuotaPrivilege 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight. 로컬로 로그온 허용:: SeInteractiveLogonRight 원격 데스크톱 서비스를 통해 로그온 허용: SeRemoteInteractiveLogonRight 파일 및 디렉터리 백업: SeBackupPrivilege 트래버스 검사 건너뛰기: SeChangeNotifyPrivilege 시스템 시간 변경: SeSystemTimePrivilege 표준 시간대 변경: SeTimeZonePrivilege pagefile 만들기: SeCreatePagefilePrivilege 글로벌 개체 만들기: SeCreateGlobalPrivilege 기호 링크 만들기: SeCreateSymbolicLinkPrivilege 디버그 프로그램: SeDebugPrivilege 위임을 위해 컴퓨터 및 사용자 계정을 신뢰할 수 있도록 설정: SeEnableDelegationPrivilege 원격 시스템에서 강제 종료: SeRemoteShutdownPrivilege 인증 후 클라이언트 가장: SeImpersonatePrivilege 일정 우선 순위 증가: SeIncreaseBasePriorityPrivilege 디바이스 드라이버 로드 및 언로드: SeLoadDriverPrivilege 일괄 작업으로 로그온: SeBatchLogonRight 감사 및 보안 로그 관리: SeSecurityPrivilege 펌웨어 환경 값 수정: SeSystemEnvironmentPrivilege 볼륨 유지 관리 작업 수행: SeManageVolumePrivilege 프로필 시스템 성능: SeSystemProfilePrivilege 프로필 단일 프로세스: SeProfileSingleProcessPrivilege 도킹 스테이션에서 컴퓨터 제거하기: SeUndockPrivilege 파일 및 디렉터리 복원: SeRestorePrivilege 시스템 종료: SeShutdownPrivilege 파일 또는 기타 개체의 소유권 가져오기: SeTakeOwnershipPrivilege |
허용된 RODC 암호 복제
이 보안 그룹의 목적은 RODC(읽기 전용 도메인 컨트롤러) 암호 복제 정책을 관리하는 것입니다. 이 그룹에는 기본적으로 멤버가 없으며 새 RODC가 사용자 자격 증명을 캐시하지 않는다는 조건이 발생합니다. 거부된 RODC 암호 복제 그룹에는 다양한 높은 권한 계정 및 보안 그룹이 포함되어 있습니다. 거부된 RODC 암호 복제 그룹은 허용된 RODC 암호 복제 그룹을 대체합니다.
허용되는 RODC 암호 복제 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-571 |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Users DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Backup Operators
백업 운영자 그룹의 구성원은 해당 파일을 보호하는 권한에 관계없이 컴퓨터의 모든 파일을 백업하고 복원할 수 있습니다. 백업 운영자는 컴퓨터에 로그온하여 컴퓨터를 종료할 수도 있습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다. 기본적으로 이 기본 제공 그룹에는 멤버가 없으며 도메인 컨트롤러에서 백업 및 복원 작업을 수행할 수 있습니다. 기본 서비스 관리자, 도메인의 도메인 관리자, 엔터프라이즈 관리자 등 다음 그룹의 구성원은 백업 운영자 그룹 멤버 자격을 수정할 수 있습니다. Backup 연산자 그룹의 구성원은 관리 그룹의 멤버 자격을 수정할 수 없습니다. 이 그룹의 구성원은 서버 설정을 변경하거나 디렉터리의 구성을 수정할 수 없지만 도메인 컨트롤러에서 파일(운영 체제 파일 포함)을 바꾸는 데 필요한 권한이 있습니다. 이 그룹의 구성원은 도메인 컨트롤러의 파일을 바꿀 수 있으므로 서비스 관리자로 간주됩니다.
Backup Operators 그룹은 기본 Active Directory 보안 그룹에 있는 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-551 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용:: SeInteractiveLogonRight 파일 및 디렉터리 백업: SeBackupPrivilege 일괄 작업으로 로그온: SeBatchLogonRight 파일 및 디렉터리 복원: SeRestorePrivilege 시스템 종료: SeShutdownPrivilege |
인증서 서비스 DCOM 액세스
이 그룹의 구성원은 엔터프라이즈의 인증 기관에 연결할 수 있습니다.
인증서 서비스 DCOM 액세스 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-<domain>-574 |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Cert Publishers
Cert Publishers 그룹의 구성원은 Active Directory에서 사용자 개체에 대한 인증서를 게시할 권한이 있습니다.
Cert Publishers 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-517 |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | 거부된 RODC 암호 복제 |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
복제 가능한 도메인 컨트롤러
도메인 컨트롤러인 Cloneable Domain Controllers 그룹의 구성원은 복제될 수 있습니다. Windows Server 2012 R2 및 Windows Server 2012에서는 기존 가상 도메인 컨트롤러를 복사하여 도메인 컨트롤러를 배포할 수 있습니다. 가상 환경에서는 더 이상 Sysprep.exe를 사용하여 준비된 서버 이미지를 반복적으로 배포하고, 서버를 도메인 컨트롤러로 승격한 다음, 각 도메인 컨트롤러를 배포하기 위한 추가 구성 요구 사항(이 보안 그룹에 가상 도메인 컨트롤러 추가 포함)을 완료할 필요가 없습니다.
자세한 내용은 AD DS(Active Directory 도메인 Services) 가상화를 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-522 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Cryptographic Operators
이 그룹의 구성원은 암호화 작업을 수행할 권한이 있습니다. 이 보안 그룹은 Windows Vista SP1(서비스 팩 1)에 추가되어 공통 조건 모드에서 IPsec용 Windows 방화벽을 구성했습니다.
Cryptographic Operators 그룹은 기본 Active Directory 보안 그룹에 있는 Windows Server 운영 체제에 적용됩니다.
이 보안 그룹은 Windows Vista SP1에서 도입되었으며 후속 버전에서는 변경되지 않았습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-569 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
거부된 RODC 암호 복제
거부된 RODC 암호 복제 그룹의 멤버 암호는 RODC에 복제할 수 없습니다.
이 보안 그룹의 목적은 RODC 암호 복제 정책을 관리하는 것입니다. 이 그룹에는 다양한 높은 권한 계정 및 보안 그룹이 포함되어 있습니다. 거부된 RODC 암호 복제 그룹은 허용된 RODC 암호 복제 그룹을 대체합니다.
이 보안 그룹에는 Windows Server 2008 이후 다음과 같은 변경 내용이 포함됩니다.
- Windows Server 2012에서 Cert Publishers를 포함 하도록 기본 멤버를 변경했습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-572 |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | Cert Publishers |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Device Owners
디바이스 소유자 그룹에 멤버가 없는 경우 이 보안 그룹에 대한 기본 구성을 변경하지 않는 것이 좋습니다. 기본 구성을 변경하면 이 그룹에 의존하는 향후 시나리오가 방해가 될 수 있습니다. 디바이스 소유자 그룹은 현재 Windows에서 사용되지 않습니다.
Device Owners 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-583 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 그룹을 이동할 수 있지만 이동하지 않는 것이 좋습니다 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용:: SeInteractiveLogonRight 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight. 트래버스 검사 건너뛰기: SeChangeNotifyPrivilege 표준 시간대 변경: SeTimeZonePrivilege |
DHCP Administrators
DHCP 관리자 그룹의 구성원은 DHCP(동적 호스트 구성 프로토콜) 데이터베이스를 백업하고 복원할 수 있는 권한을 포함하여 서버 범위의 다양한 영역을 만들고, 삭제하고, 관리할 수 있습니다. 이 그룹에는 관리 권한이 있지만 이 역할은 DHCP 서비스로 제한되기 때문에 관리자 그룹에 속하지 않습니다.
DHCP Administrators 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<도메인> |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | 사용자 |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 그룹을 이동할 수 있지만 이동하지 않는 것이 좋습니다 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
DHCP Users
DHCP 사용자 그룹의 구성원은 활성 또는 비활성 상태인 범위를 확인하고, 할당된 IP 주소를 확인하고, DHCP 서버가 올바르게 구성되지 않은 경우 연결 문제를 볼 수 있습니다. 이 그룹은 DHCP 서버에 대한 읽기 전용 액세스로 제한됩니다.
DHCP Users 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<도메인> |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | 사용자 |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 그룹을 이동할 수 있지만 이동하지 않는 것이 좋습니다 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
Distributed COM Users
Distributed COM 사용자 그룹의 구성원은 컴퓨터에서 Distributed COM 개체를 시작, 활성화 및 사용할 수 있습니다. Microsoft COM(구성 요소 개체 모델)은 상호 작용할 수 있는 이진 소프트웨어 구성 요소를 만들기 위한 플랫폼 독립적이고 분산된 개체 지향 시스템입니다. DCOM(분산 구성 요소 개체 모델)을 사용하면 애플리케이션을 사용자와 애플리케이션에 가장 적합한 위치에 분산할 수 있습니다. 이 그룹은 도메인 컨트롤러가 기본 도메인 컨트롤러가 될 때까지 SID로 표시되며 연산 마스터(유연한 단일 마스터 작업 또는 FSMO라고도 함) 역할을 보유합니다.
Distributed COM Users 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-562 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
DnsUpdateProxy
DnsUpdateProxy 그룹의 멤버는 DNS 클라이언트입니다. DHCP 서버와 같은 다른 클라이언트를 대신하여 동적 업데이트를 수행할 수 있습니다. DHCP 서버가 동적 업데이트를 사용하여 DHCP 클라이언트를 대신하여 호스트(A) 및 포인터(PTR) 리소스 레코드를 동적으로 등록하도록 구성된 경우 DNS 서버는 부실 리소스 레코드를 개발할 수 있습니다. 이 보안 그룹에 클라이언트를 추가하면 이 시나리오가 완화됩니다.
그러나 보안되지 않은 레코드로부터 보호하거나 DnsUpdateProxy 그룹의 구성원이 보안 동적 업데이트만 허용하는 영역에 레코드를 등록하도록 허용하려면 전용 사용자 계정을 만들고 이 계정의 자격 증명(사용자 이름, 암호 및 도메인)을 사용하여 DNS 동적 업데이트를 수행하도록 DHCP 서버를 구성해야 합니다. 여러 DHCP 서버에서 하나의 전용 사용자 계정의 자격 증명을 사용할 수 있습니다. 이 그룹은 DNS 서버 역할이 도메인의 도메인 컨트롤러에 설치되었거나 한 번 설치된 경우에만 존재합니다.
자세한 내용은 DNS 레코드 소유권 및 DnsUpdateProxy 그룹을 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<도메인>-<variable RI> |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
DnsAdmins
DnsAdmins 그룹의 구성원은 네트워크 DNS 정보에 액세스할 수 있습니다. 기본 권한은 허용: 읽기, 쓰기, 모든 자식 개체 만들기, 자식 개체 삭제, 특수 사용 권한입니다. 이 그룹은 DNS 서버 역할이 도메인의 도메인 컨트롤러에 설치되었거나 한 번 설치된 경우에만 존재합니다.
보안 및 DNS에 대한 자세한 내용은 Windows Server 2012의 DNSSEC를 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<도메인>-<variable RI> |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Domain Admins
Domain Admins 보안 그룹의 구성원은 도메인을 관리할 권한이 있습니다. 기본적으로 도메인 관리자 그룹은 도메인 컨트롤러를 포함하여 도메인에 가입한 모든 컴퓨터의 관리자 그룹 구성원입니다. 도메인 관리자 그룹은 그룹의 모든 구성원이 도메인에 대해 Active Directory에서 만든 모든 개체의 기본 소유자입니다. 그룹의 구성원이 파일과 같은 다른 개체를 만드는 경우 기본 소유자는 Administrators 그룹입니다.
Domain Admins 그룹은 도메인의 모든 도메인 컨트롤러에 대한 액세스를 제어하며 도메인에 있는 모든 관리 계정의 멤버 자격을 수정할 수 있습니다. 해당 도메인의 서비스 관리자 그룹 구성원(관리자 및 도메인 관리자) 및 Enterprise Admins 그룹의 구성원은 Domain Admins 멤버 자격을 수정할 수 있습니다. 이 그룹은 구성원이 도메인의 도메인 컨트롤러에 대한 전체 액세스 권한이 있으므로 서비스 관리자 계정으로 간주됩니다.
도메인 관리자 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-512 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 관리자 |
| 기본 소속 | 관리자 |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 관리자 추가 보기 |
도메인 컴퓨터
이 그룹에는 도메인 컨트롤러를 제외한 도메인에 가입된 모든 컴퓨터 및 서버가 포함될 수 있습니다. 기본적으로 자동으로 만들어진 컴퓨터 계정은 이 그룹의 구성원이 됩니다.
도메인 Computers 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-515 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 도메인 컨트롤러를 제외한 도메인에 가입된 모든 컴퓨터 |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예(필수는 아님) |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | None |
도메인 컨트롤러 하나 이상
도메인 컨트롤러 그룹은 도메인의 모든 도메인 컨트롤러를 포함할 수 있습니다. 새 도메인 컨트롤러가 이 그룹에 자동으로 추가됩니다.
Domain Controllers 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-516 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 도메인의 모든 도메인 컨트롤러에 대한 컴퓨터 계정 |
| 기본 소속 | 거부된 RODC 암호 복제 |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 아니요 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
도메인 게스트
도메인 게스트 그룹에는 도메인의 기본 제공 게스트 계정이 포함됩니다. 이 그룹의 구성원이 도메인에 가입된 컴퓨터에서 로컬 게스트로 로그인하면 로컬 컴퓨터에 도메인 프로필이 만들어집니다.
도메인 게스트 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-514 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 게스트 |
| 기본 소속 | 게스트 |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 그룹을 이동할 수 있지만 이동하지 않는 것이 좋습니다 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 게스트 보기 |
도메인 사용자
도메인 사용자 그룹에는 도메인의 모든 사용자 계정이 포함됩니다. 도메인에서 사용자 계정을 만들면 이 그룹에 자동으로 추가됩니다.
기본적으로 도메인에서 만든 모든 사용자 계정은 자동으로 이 그룹의 멤버가 됩니다. 이 그룹을 사용하여 도메인의 모든 사용자를 나타낼 수 있습니다. 예를 들어 모든 도메인 사용자가 프린터에 액세스할 수 있도록 하려면 프린터에 대한 사용 권한을 이 그룹에 할당하거나 프린터에 대한 권한이 있는 인쇄 서버의 로컬 그룹에 도메인 사용자 그룹을 추가할 수 있습니다.
Domain Users 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-513 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 관리자 |
| krbtgt | |
| 기본 소속 | 사용자 |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 사용자 보기 |
Enterprise Admins
Enterprise Admins 그룹은 도메인의 Active Directory 포리스트의 루트 도메인에만 존재합니다. 도메인이 기본 모드인 경우 그룹은 유니버설 그룹입니다. 도메인이 혼합 모드인 경우 그룹은 글로벌 그룹입니다. 이 그룹의 구성원은 자식 도메인 추가와 같이 Active Directory에서 포리스트 전체 변경을 수행할 권한이 있습니다.
기본적으로 그룹의 유일한 구성원은 포리스트 루트 도메인의 Administrator 계정입니다. 이 그룹은 포리스트의 모든 도메인에 있는 Administrators 그룹에 자동으로 추가되며 모든 도메인 컨트롤러를 구성하는 데 완전한 액세스 권한을 제공합니다. 이 그룹의 구성원은 모든 관리 그룹의 멤버 자격을 수정할 수 있습니다. 루트 도메인의 기본 서비스 관리자 그룹의 구성원은 Enterprise Admins 멤버 자격을 수정할 수 있습니다. 이 그룹은 서비스 관리자 계정으로 간주됩니다.
Enterprise Admins 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<루트 도메인>-519 |
| Type | 도메인이 기본 모드인 경우 유니버설입니다. 그렇지 않으면 글로벌 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 관리자 |
| 기본 소속 | 관리자 |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 관리자 추가 보기 |
엔터프라이즈 키 관리자
이 그룹의 구성원은 포리스트 내의 주요 개체에 대한 관리 작업을 수행할 수 있습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-527 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
엔터프라이즈 읽기 전용 도메인 컨트롤러.
이 그룹의 멤버는 엔터프라이즈의 RODC입니다. 계정 암호를 제외하고 RODC는 쓰기 가능한 도메인 컨트롤러가 보유하는 모든 Active Directory 개체 및 특성을 보유합니다. 그러나 RODC에 저장된 데이터베이스는 변경할 수 없습니다. 쓰기 가능한 도메인 컨트롤러에서 변경한 다음 RODC에 복제해야 합니다.
RODC는 지점에서 일반적으로 발견되는 몇 가지 문제를 해결합니다. 이러한 위치에는 도메인 컨트롤러가 없거나 쓰기 가능한 도메인 컨트롤러가 있지만 실제 보안, 네트워크 대역폭 또는 이를 지원하는 로컬 전문 지식이 없을 수 있습니다.
자세한 내용은 RODC란?
Enterprise Read-only Domain Controllers 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<루트 도메인>-498 |
| Type | 유니버설 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Event Log Readers
이 그룹의 구성원은 로컬 컴퓨터에서 이벤트 로그를 읽을 수 있습니다. 서버가 도메인 컨트롤러로 승격될 때 그룹이 만들어집니다.
Event Log Readers 그룹은 기본 Active Directory 보안 그룹에 있는 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-573 |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Group Policy Creator Owners
이 그룹은 도메인에서 그룹 정책 개체를 만들고, 편집하고, 삭제할 권한이 있습니다. 기본적으로 그룹의 유일한 구성원은 관리자입니다.
이 보안 그룹에서 사용할 수 있는 다른 기능에 대한 자세한 내용은 그룹 정책 개요를 참조하세요.
Group Policy Creator Owners 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-520 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 관리자 |
| 기본 소속 | 거부된 RODC 암호 복제 |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 아니요 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 거부된 RODC 암호 복제 보기 |
게스트
게스트 그룹의 구성원은 게스트 계정에 추가 제한이 있다는 점을 제외하고 기본적으로 사용자 그룹의 구성원과 동일한 액세스 권한을 가짐. 기본적으로 유일한 멤버는 게스트 계정입니다. 게스트 그룹을 사용하면 가끔 또는 일회성 사용자가 컴퓨터의 기본 제공 게스트 계정에 제한된 권한으로 로그인할 수 있습니다.
게스트 그룹의 구성원이 로그아웃하면 전체 프로필이 삭제됩니다. 프로필 삭제에는 사용자의 레지스트리 하이브 정보, 사용자 지정 데스크톱 아이콘 및 기타 사용자별 설정을 포함하여 %userprofile% 디렉터리에 저장된 모든 항목이 포함됩니다. 이 사실은 게스트가 임시 프로필을 사용하여 시스템에 로그인해야 한다는 것을 의미합니다. 이 보안 그룹은 그룹 정책 설정과 상호 작용합니다. 이 보안 그룹을 사용하도록 설정하면 임시 프로필이 있는 사용자를 로그온하지 마세요. 이 설정에 액세스하려면 컴퓨터 구성>관리 템플릿> 시스템> 사용자 프로필로 이동합니다.
참고 항목
게스트 계정은 게스트 보안 그룹의 기본 멤버입니다. 도메인에 실제 계정이 없는 사람은 게스트 계정을 사용할 수 있습니다. 계정이 있지만 사용하지 않도록 설정된 사용자도 게스트 계정을 사용할 수 있습니다. 게스트 계정은 암호가 필요하지 않습니다. 모든 사용자 계정에서와 같이 게스트 계정에 대한 권한 및 권한을 설정할 수 있습니다. 기본적으로 게스트 계정은 기본 제공 게스트 그룹 및 도메인 게스트 글로벌 그룹의 구성원으로, 사용자가 도메인에 로그인할 수 있습니다. 게스트 계정은 기본적으로 사용하지 않도록 설정되어 있는데, 이 설정을 그대로 유지하는 것이 좋습니다.
Guests 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-546 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | 도메인 게스트 |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
Hyper-V 관리자
Hyper-V 관리자 그룹의 구성원은 Hyper-V의 모든 기능에 제한 없이 완전하게 액세스할 수 있습니다. 이 그룹에 구성원을 추가하면 Administrators 그룹에 필요한 멤버 수를 줄이고 액세스를 추가로 구분할 수 있습니다.
참고 항목
Windows Server 2012 이전에는 Hyper-V의 기능에 대한 액세스가 관리자 그룹의 멤버 자격에 의해 부분적으로 제어되었습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-578 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
IIS_IUSRS
IIS_IUSRS IIS 7부터 IIS(인터넷 정보 서비스)에서 사용하는 기본 제공 그룹입니다. 기본 제공 계정 및 그룹은 운영 체제에서 항상 고유한 SID를 갖도록 보장합니다. IIS 7은 IUSR_MachineName 계정과 IIS_WPG 그룹을 IIS_IUSRS 그룹으로 대체하여 새 계정 및 그룹 사용의 실제 이름이 지역화되지 않도록 합니다. 예를 들어 설치하는 Windows 운영 체제의 언어에 관계없이 IIS 계정 이름은 항상 IUSR이며 그룹 이름은 IIS_IUSRS.
자세한 내용은 IIS 7 의 기본 제공 사용자 및 그룹 계정 이해를 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-568 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | IUSR |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Incoming Forest Trust Builders
들어오는 포리스트 트러스트 작성기 그룹의 멤버는 이 포리스트에 들어오는 단방향 트러스트를 만들 수 있습니다. Active Directory는 도메인 및 포리스트 트러스트 관계를 통해 여러 도메인 또는 포리스트에 걸쳐 보안을 제공합니다. 트러스트 간에 인증이 수행되기 전에 Windows는 사용자, 컴퓨터 또는 서비스에서 요청하는 도메인이 요청 계정의 로그온 도메인과 트러스트 관계가 있는지 여부를 확인해야 합니다.
이 결정을 내리기 위해 Windows 보안 시스템은 요청을 받는 서버의 도메인 컨트롤러와 요청하는 계정의 도메인에 있는 도메인 컨트롤러 간의 트러스트 경로를 계산합니다. 보안 채널은 도메인 간 트러스트 관계를 통해 다른 Active Directory 도메인으로 확장됩니다. 이 보안 채널은 사용자 및 그룹에 대한 SID를 비롯한 보안 정보를 얻고 확인하는 데 사용됩니다.
이 그룹은 도메인 컨트롤러가 기본 도메인 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 표시됩니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
자세한 내용은 도메인 및 포리스트 트러스트의 작동 방식을 참조 하세요.
들어오는 포리스트 트러스트 작성기 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-557 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
키 관리자
이 그룹의 구성원은 도메인 내의 주요 개체에 대한 관리 작업을 수행할 수 있습니다.
Key Admins 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-526 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
Network Configuration Operators
네트워크 구성 연산자 그룹의 구성원은 네트워킹 기능의 구성을 관리하기 위해 다음과 같은 관리 권한을 가질 수 있습니다.
IP 주소, 서브넷 마스크, 기본 게이트웨이 및 이름 서버를 포함하는 LAN(로컬 영역 네트워크) 연결에 대한 TCP/IP(Transmission Control Protocol/Internet Protocol) 속성을 수정합니다.
모든 사용자가 사용할 수 있는 LAN 연결 또는 원격 액세스 연결의 이름을 바꿉니다.
LAN 연결을 사용하거나 사용하지 않도록 설정합니다.
사용자의 모든 원격 액세스 연결의 속성을 수정합니다.
사용자의 모든 원격 액세스 연결을 삭제합니다.
사용자의 모든 원격 액세스 연결 이름을 바꿉니다.
Issue
ipconfig,ipconfig /release, 및ipconfig /renew명령.SIM 카드를 지원하는 모바일 광대역 디바이스의 PIN 차단 해제 키(PUK)를 입력합니다.
이 그룹은 도메인 컨트롤러가 기본 도메인 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 표시됩니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
Network Configuration 운영자 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-556 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | None |
성능 로그 사용자
성능 로그 사용자 그룹의 구성원은 관리자 그룹의 구성원이 되지 않고 서버 및 원격 클라이언트에서 로컬로 성능 카운터, 로그 및 경고를 관리할 수 있습니다. 특히 이 보안 그룹의 멤버는 다음과 같습니다.
성능 모니터 사용자 그룹에서 사용할 수 있는 모든 기능을 사용할 수 있습니다.
그룹에 일괄 작업으로 로그온 사용자 권한이 할당된 후 데이터 수집기 집합을 만들고 수정할 수 있습니다.
Warning
성능 로그 사용자 그룹의 구성원인 경우 자격 증명으로 실행하도록 만든 데이터 수집기 집합을 구성해야 합니다.
참고 항목
Windows Server 2016 이상에서는 성능 로그 사용자 그룹의 구성원이 데이터 수집기 집합을 만들 수 없습니다. 성능 로그 사용자 그룹의 멤버가 데이터 수집기 집합을 만들려고 하면 액세스가 거부되어 작업을 완료할 수 없습니다.
데이터 수집기 집합에서 Windows 커널 추적 이벤트 공급자를 사용할 수 없습니다.
성능 로그 사용자 그룹의 구성원이 데이터 로깅을 시작하거나 데이터 수집기 집합을 수정하려면 먼저 그룹에 로그온을 일괄 작업 사용자 권한으로 할당해야 합니다. 이 사용자 권한을 할당하려면 MMC(Microsoft Management Console)에서 로컬 보안 정책 스냅인을 사용합니다.
이 그룹은 도메인 컨트롤러가 기본 도메인 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 표시됩니다. 이 계정은 이름을 바꾸거나 삭제하거나 이동할 수 없습니다.
Performance Log Users 그룹은 기본 Active Directory 보안 그룹에 있는 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-559 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | 일괄 작업으로 로그온: SeBatchLogonRight |
성능 모니터 사용자
이 그룹의 구성원은 관리자 또는 성능 로그 사용자 그룹의 구성원이 되지 않고 도메인의 도메인 컨트롤러, 로컬 및 원격 클라이언트에서 성능 카운터를 모니터링할 수 있습니다. Windows 성능 모니터 시스템 성능을 분석하기 위한 도구를 제공하는 MMC 스냅인입니다. 단일 콘솔에서 애플리케이션 및 하드웨어 성능을 모니터링하고, 로그에서 수집하려는 데이터를 사용자 지정하고, 경고 및 자동 작업에 대한 임계값을 정의하고, 보고서를 생성하고, 다양한 방법으로 과거 성능 데이터를 볼 수 있습니다.
특히 이 보안 그룹의 멤버는 다음과 같습니다.
사용자 그룹이 사용할 수 있는 모든 기능을 사용할 수 있습니다.
성능 모니터 실시간 성능 데이터를 볼 수 있습니다.
데이터를 보는 동안 성능 모니터 표시 속성을 변경할 수 있습니다.
데이터 수집기 집합을 만들거나 수정할 수 없습니다.
Warning
성능 모니터 사용자 그룹의 구성원은 데이터 컬렉션 집합을 구성할 수 없습니다.
이 그룹은 도메인 컨트롤러가 기본 도메인 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 표시됩니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
Performance Monitor Users 그룹은 기본 Active Directory 보안 그룹에 있는 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-558 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | None |
Windows 2000 이전 호환 액세스
Windows 2000 이전 호환 액세스 그룹의 구성원은 도메인의 모든 사용자 및 그룹에 대한 읽기 권한을 갖습니다. 이 그룹은 Windows NT 4.0 이하를 실행하는 컴퓨터의 이전 버전과의 호환성을 위해 제공됩니다. 기본적으로 특수 ID 그룹 Everyone는 이 그룹의 구성원입니다. Windows NT 4.0 이하를 실행하는 경우에만 이 그룹에 사용자를 추가합니다.
Warning
이 그룹은 도메인 컨트롤러가 기본 도메인 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 표시됩니다.
Windows 2000 이전 호환 액세스 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-554 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | Windows 2000 이전 호환 권한 모드를 선택하면 모든 사용자와 익명이 구성원입니다. Windows 2000 전용 사용 권한 모드를 선택하면 인증된 사용자가 구성원입니다. |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight. 트래버스 검사 건너뛰기: SeChangeNotifyPrivilege |
Print Operators
이 그룹의 구성원은 도메인의 도메인 컨트롤러에 연결된 프린터를 관리, 생성, 공유 및 삭제할 수 있습니다. 또한 도메인에서 Active Directory 프린터 개체를 관리할 수 있습니다. 이 그룹의 구성원은 도메인에서 도메인 컨트롤러에 로컬로 로그인하고 종료할 수 있습니다.
이 그룹에는 기본 구성원이 없습니다. 이 그룹의 구성원은 도메인의 모든 도메인 컨트롤러에서 디바이스 드라이버를 로드하고 언로드할 수 있으므로 주의해서 사용자를 추가합니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
Print Operators 그룹은 기본 Active Directory 보안 그룹에 있는 Windows Server 운영 체제에 적용됩니다.
자세한 내용은 Windows Server 2012에서 위임된 인쇄 관리자 및 프린터 사용 권한 설정 할당을 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-550 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용:: SeInteractiveLogonRight 디바이스 드라이버 로드 및 언로드: SeLoadDriverPrivilege 시스템 종료: SeShutdownPrivilege |
보호된 사용자
보호된 사용자 그룹의 구성원은 인증 프로세스 중에 자격 증명 손상에 대한 추가 보호를 제공합니다.
이 보안 그룹은 엔터프라이즈 내에서 자격 증명을 효과적으로 보호하고 관리하기 위한 전략의 일환으로 설계되었습니다. 이 그룹의 구성원은 자동으로 계정에 구성할 수 없는 보호 기능이 적용됩니다. 보호된 그룹의 구성원은 기본적으로 사전에 엄격하게 보호됩니다. 계정에 대한 보호를 수정할 수 있는 유일한 방법은 보안 그룹에서 계정을 삭제하는 것입니다.
이 도메인 관련 글로벌 그룹은 Windows Server 2012 R2 및 Windows 8.1 운영 체제부터 디바이스 및 호스트 컴퓨터에서 구성할 수 없는 보호를 트리거합니다. 또한 Windows Server 2016 또는 Windows Server 2012 R2를 실행하는 기본 도메인 컨트롤러가 있는 도메인의 도메인 컨트롤러에서 구성할 수 없는 보호를 트리거합니다. 이 보호 기능은 사용자가 손상되지 않은 컴퓨터에서 네트워크의 컴퓨터에 로그인할 때 자격 증명의 메모리 사용량을 크게 줄여줍니다.
Windows에서 지원되는 인증 방법의 동작 변경으로 인해 보호된 사용자 그룹의 구성원은 계정의 도메인 기능 수준에 따라 추가로 보호됩니다:
보호된 사용자 그룹의 구성원은 NTLM, 다이제스트 인증 또는 CredSSP(보안 지원 공급자)를 사용하여 인증할 수 없습니다. 암호는 Windows 10 또는 Windows 8.1 실행하는 디바이스에서 캐시되지 않으므로 계정이 보호된 사용자 그룹의 구성원인 경우 디바이스가 도메인에 인증되지 않습니다.
Kerberos 프로토콜은 사전 인증 프로세스에서 더 약한 DES 또는 RC4 암호화 유형을 사용하지 않습니다. 도메인은 최소한 AES 암호 제품군을 지원하도록 구성되어야 합니다.
사용자 계정은 Kerberos 제한 위임 또는 제한 없는 위임으로 위임할 수 없습니다. 사용자가 보호된 사용자 그룹의 구성원인 경우 다른 시스템에 대한 이전 연결이 실패할 수 있습니다.
Active Directory 관리 센터에서 인증 정책 및 사일로를 사용하여 기본 Kerberos TGT(티켓 부여 티켓) 수명 설정인 4시간을 변경할 수 있습니다. 기본 설정에서 4시간이 지나면 사용자가 다시 인증해야 합니다.
Protected Users 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
이 그룹은 Windows Server 2012 R2에서 도입되었습니다. 이 그룹의 작동 방식에 대한 자세한 내용은 Protected Users security group를 참조하세요.
다음 표에는 보호된 사용자 그룹의 속성이 나와 있습니다:
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-525 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
RAS 및 IAS Servers
RAS 및 IAS 서버 그룹의 구성원인 컴퓨터는 올바르게 구성된 경우 원격 액세스 서비스를 사용할 수 있습니다. 기본적으로는 이 그룹에는 멤버가 없습니다. RRAS(라우팅 및 원격 액세스 서비스) 및 IAS(인터넷 인증 서비스) 및 네트워크 정책 서버와 같은 원격 액세스 서비스를 실행하는 컴퓨터가 자동으로 그룹에 추가됩니다. 이 그룹의 구성원은 읽기 계정 제한, 로그온 정보 읽기 및 원격 액세스 정보 읽기와 같은 사용자 개체의 특정 속성에 액세스할 수 있습니다.
RAS and IAS Servers 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-553 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | None |
RDS Endpoint Servers
RDS Endpoint Servers 그룹의 멤버인 서버는 가상 컴퓨터를 실행하고 사용자 RemoteApp 프로그램 및 개인 가상 데스크톱이 실행되는 세션을 호스팅할 수 있습니다. RD 연결 브로커를 실행하는 서버에 이 그룹을 채워야 합니다. 배포에 사용되는 세션 호스트 서버 및 RD 가상화 호스트 서버는 이 그룹에 있어야 합니다.
RDS(원격 데스크톱 서비스)에 대한 자세한 내용은 Windows Server의 원격 데스크톱 서비스 개요를 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-576 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
RDS Management Servers
RDS 관리 서버 그룹의 구성원인 서버를 사용하여 RDS를 실행하는 서버에서 일상적인 관리 작업을 완료할 수 있습니다. RDS 배포의 모든 서버에서 이 그룹을 채워야 합니다. RDS 중앙 관리 서비스를 실행 하는 서버는이 그룹에 포함 되어야 합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-577 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
RDS Remote Access Servers
RDS 원격 액세스 서버 그룹의 서버는 사용자에게 RemoteApp 프로그램 및 개인 가상 데스크톱에 대한 액세스를 제공합니다. 인터넷 연결 배포에서 이러한 서버는 일반적으로 엣지 네트워크에 배포됩니다. RD 연결 브로커를 실행하는 서버에 이 그룹을 채워야 합니다. 배포에 사용되는 RD 게이트웨이 서버 및 RD 웹 액세스 서버는 이 그룹에 있어야 합니다.
자세한 내용은 Windows Server의 원격 데스크톱 서비스 개요를 참조 하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-575 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Read-only Domain Controllers
이 그룹은 도메인의 RODC로 구성됩니다. RODC를 사용하면 조직에서 지점 위치 또는 모든 도메인 암호의 로컬 스토리지가 엑스트라넷 또는 애플리케이션 연결 역할과 같은 주요 위협으로 간주되는 경우와 같이 물리적 보안을 보장할 수 없는 시나리오에서 도메인 컨트롤러를 쉽게 배포할 수 있습니다.
RODC 관리를 도메인 사용자 또는 보안 그룹에 위임할 수 있으므로 RODC는 Domain Admins 그룹의 구성원인 사용자가 없어야 하는 사이트에 적합합니다. RODC에는 다음과 같은 기능이 있습니다.
읽기 전용 AD DS 데이터베이스 포함
단방향 복제
자격 증명 캐싱
관리자 역할 분리
읽기 전용 DNS(도메인 이름 시스템) 포함
자세한 내용은 읽기 전용 도메인 컨트롤러에 대한 계획 및 배포 이해를 참조 하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<domain>-521 |
| Type | 전역 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | 거부된 RODC 암호 복제 |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | 거부된 RODC 암호 복제 보기 |
Remote Desktop Users
RD 세션 호스트 서버의 원격 데스크톱 사용자 그룹을 사용하여 사용자 및 그룹에 RD 세션 호스트 서버에 원격으로 연결할 수 있는 권한을 부여합니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다. 이 그룹은 도메인 컨트롤러가 주 도메인 컨트롤러가 되고 FSMO(작업 마스터) 역할을 맡을 때까지 SID로 표시됩니다.
Remote Desktop Users 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-555 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | None |
원격 관리 사용자
원격 관리 사용자 그룹의 구성원은 Windows 원격 관리 서비스를 통해 WS-Management와 같은 관리 프로토콜을 통해 WMI(Windows 관리 계측) 리소스에 액세스할 수 있습니다. WMI 리소스에 대한 액세스는 사용자에게 액세스 권한을 부여하는 WMI namespaces에만 적용됩니다.
원격 관리 사용자 그룹을 사용하여 사용자가 서버 관리자 콘솔을 통해 서버를 관리할 수 있도록 합니다. WinRMRemoteWMIUsers\_ 그룹을 사용하여 사용자가 Windows PowerShell 명령을 원격으로 실행할 수 있도록 합니다.
자세한 내용은 MI의 새로운 기능 및 WMI 정보를 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-580 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Replicator
Replicator 그룹의 구성원인 컴퓨터는 도메인에서 파일 복제를 지원합니다. Windows Server 운영 체제는 FRS(파일 복제 서비스)를 사용하여 시스템 볼륨 폴더(sysvol 폴더)에 저장된 시스템 정책 및 로그온 스크립트를 복제합니다. 각 도메인 컨트롤러는 네트워크 클라이언트가 액세스할 수 있도록 sysvol 폴더의 복사본을 유지합니다. FRS는 DFS(분산 파일 시스템)에 대한 데이터를 복제하고 DFS에서 정의한 대로 복제본 집합에 있는 각 멤버의 콘텐츠를 동기화할 수도 있습니다. FRS는 여러 서버에서 공유 파일 및 폴더를 동시에 복사하고 유지 관리할 수 있습니다. 변경이 발생하면 사이트 내에서 사이트 간 일정에 따라 콘텐츠가 즉시 동기화됩니다.
Warning
Windows Server 2008 R2에서는 FRS를 사용하여 DFS 폴더 또는 사용자 지정(비 sysvol) 데이터를 복제할 수 없습니다. Windows Server 2008 R2 도메인 컨트롤러는 여전히 FRS를 사용하여 도메인 컨트롤러 간에 sysvol 폴더 공유 리소스를 복제하는 도메인에서 sysvol 폴더 공유 리소스의 콘텐츠를 복제할 수 있습니다. 그러나 Windows Server 2008 R2 서버는 FRS를 사용하여 sysvol 폴더 공유 리소스를 제외한 모든 복제본 집합의 콘텐츠를 복제할 수 없습니다. DFS 복제 서비스는 FRS를 대체합니다. DFS 복제를 사용하여 sysvol 폴더 공유 리소스, DFS 폴더 및 기타 사용자 지정(비 sysvol) 데이터의 콘텐츠를 복제할 수 있습니다. 모든 비 sysvol FRS 복제본 집합을 DFS 복제로 마이그레이션해야 합니다.
자세한 내용은 다음을 참조하세요.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-552 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |
Schema Admins
Schema Admins 그룹의 구성원은 Active Directory 스키마를 수정할 수 있습니다. 이 그룹은 도메인의 Active Directory 포리스트의 루트 도메인에만 존재합니다. 도메인이 기본 모드인 경우 이 그룹은 유니버설 그룹입니다. 도메인이 혼합 모드인 경우 이 그룹은 글로벌 그룹입니다.
그룹은 Active Directory에서 스키마를 변경할 권한이 있습니다. 기본적으로 그룹의 유일한 구성원은 포리스트 루트 도메인의 Administrator 계정입니다. 이 그룹에는 스키마에 대한 모든 관리 권한이 있습니다.
루트 도메인의 서비스 관리자 그룹은 이 그룹의 멤버 자격을 수정할 수 있습니다. 이 그룹은 멤버가 전체 디렉터리의 구조와 콘텐츠를 제어하는 스키마를 수정할 수 있기 때문에 서비스 관리자 계정으로 간주됩니다.
자세한 내용은 Active Directory 스키마란?을 참조하세요.
Schema Admins 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<루트 도메인>-518 |
| Type | 유니버설(도메인이 네이티브 모드인 경우) 그렇지 않으면 글로벌 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | 관리자 |
| 기본 소속 | 거부된 RODC 암호 복제 |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 거부된 RODC 암호 복제 보기 |
Server Operators
서버 운영자 그룹의 구성원은 도메인 컨트롤러를 관리할 수 있습니다. 이 그룹은 도메인 컨트롤러에만 존재합니다. 기본적으로는 그룹에는 멤버가 없습니다. 서버 운영자 그룹의 구성원은 대화형으로 서버에 로그인하고, 네트워크 공유 리소스를 만들고 삭제하고, 서비스를 시작 및 중지하고, 파일을 백업 및 복원하고, 컴퓨터의 하드 디스크 드라이브 형식을 지정하고, 컴퓨터를 종료하는 작업을 수행할 수 있습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
기본적으로 이 기본 제공 그룹에는 멤버가 없습니다. 이 그룹은 도메인 컨트롤러의 서버 구성 옵션에 액세스할 수 있습니다. 해당 멤버 자격은 도메인의 관리자 및 도메인 관리자 그룹 및 포리스트 루트 도메인의 Enterprise Admins 그룹에 의해 제어됩니다. 이 그룹의 구성원은 관리 그룹 멤버 자격을 변경할 수 없습니다. 이 그룹은 구성원이 도메인 컨트롤러에 물리적으로 액세스할 수 있기 때문에 서비스 관리자 계정으로 간주됩니다. 이 그룹의 구성원은 백업 및 복원과 같은 유지 관리 작업을 수행할 수 있으며 도메인 컨트롤러에 설치된 이진 파일을 변경할 수 있습니다. 다음 표에서 그룹의 기본 사용자 권한을 참조하세요.
Server Operators 그룹은 기본 Active Directory 보안 그룹에 있는 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-549 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 예 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | 로컬로 로그온 허용:: SeInteractiveLogonRight 파일 및 디렉터리 백업: SeBackupPrivilege 시스템 시간 변경: SeSystemTimePrivilege 표준 시간대 변경: SeTimeZonePrivilege 원격 시스템에서 강제 종료: SeRemoteShutdownPrivilege 파일 및 디렉터리 복원: 파일 및 디렉터리 SeRestorePrivilege 복원 시스템 종료: SeShutdownPrivilege |
Storage Replica Administrators
스토리지 복제본 관리자 그룹의 구성원은 스토리지 복제본의 모든 기능에 대해 완전하고 무제한으로 액세스할 수 있습니다. Storage Replica Administrators 그룹은 기본 Active Directory 보안 그룹 목록의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-582 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
System Managed Accounts
시스템 관리 계정 그룹의 멤버 자격은 시스템에서 관리됩니다.
시스템 관리 계정 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-581 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | 사용자 |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
Terminal Server License Servers
터미널 서버 라이선스 서버 그룹의 구성원은 Active Directory의 사용자 계정을 라이선스 발급에 대한 정보로 업데이트할 수 있습니다. 이 그룹은 사용자별 TS CAL 사용량을 추적하고 보고하는 데 사용됩니다. 사용자별 TS CAL은 한 사용자에게 무제한의 클라이언트 컴퓨터 또는 디바이스에서 터미널 서버 인스턴스에 액세스할 수 있는 권한을 부여합니다. 이 그룹은 도메인 컨트롤러가 기본 도메인 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 표시됩니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
이 보안 그룹에 대한 자세한 내용은 Terminal Services License Server 보안 그룹 구성을 참조하세요.
Terminal Server License Servers 그룹은 기본 Active Directory 보안 그룹의 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-561 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | None |
사용자
사용자 그룹의 구성원은 실수로 또는 의도적으로 시스템 전체를 변경할 수 없습니다. 이 그룹의 멤버는 대부분의 애플리케이션을 실행할 수 있습니다. 운영 체제를 처음 설치한 후 유일한 멤버는 인증된 사용자 그룹입니다. 컴퓨터가 도메인에 가입하면 도메인 사용자 그룹이 컴퓨터의 사용자 그룹에 추가됩니다.
사용자는 애플리케이션을 실행하고, 로컬 및 네트워크 프린터를 사용하고, 컴퓨터를 종료하고, 컴퓨터를 잠그는 등의 작업을 수행할 수 있습니다. 사용자는 애플리케이션의 설치 프로그램이 사용자별 설치를 지원하는 경우에만 사용할 수 있는 애플리케이션을 설치할 수 있습니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
Users 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
이 보안 그룹에는 Windows Server 2008 이후 다음과 같은 변경 내용이 포함됩니다.
Windows Server 2008 R2에서 Interactive가 기본 구성원 목록에 추가되었습니다.
Windows Server 2012에서는 기본 목록 멤버가 도메인 사용자에서 없음으로 변경되었습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-545 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | 인증된 사용자 |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 아니요 |
| 기본 사용자 권한 | None |
Windows Authorization Access
이 그룹의 멤버는 사용자 객체에서 계산된 토큰 GroupsGlobalAndUniversal 속성에 액세스할 수 있습니다. 일부 애플리케이션에는 사용자 계정 개체 또는 AD DS의 컴퓨터 계정 개체에서 token-groups-global-and-universal(TGGAU) 특성을 읽는 기능이 있습니다. 일부 Win32 함수를 사용하면 TGGAU 특성을 더 쉽게 읽을 수 있습니다. 이 특성을 읽거나 이 특성을 읽는 API( 함수)를 호출하는 애플리케이션은 호출 보안 컨텍스트에 특성에 대한 액세스 권한이 없는 경우 성공하지 못합니다. 이 그룹은 도메인 컨트롤러가 기본 도메인 컨트롤러로 만들어지고 FSMO(작업 마스터) 역할을 보유할 때까지 SID로 표시됩니다. 이 그룹의 이름을 바꾸거나 삭제하거나 제거할 수 없습니다.
Windows 권한 부여 액세스 그룹은 기본 Active Directory 보안 그룹에서 Windows Server 운영 체제에 적용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-32-560 |
| Type | Builtin Local |
| 기본 컨테이너 | CN=Builtin, DC=<domain>, DC= |
| 기본 구성원 | Enterprise Domain Controllers |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 이동할 수 없습니다. |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | 예 |
| 기본 사용자 권한 | None |
WinRMRemoteWMIUsers_
Windows Server 2012 및 Windows 8에서는 Advanced Security Settings 사용자 인터페이스에 공유 탭이 추가되었습니다. 이 탭에는 원격 파일 공유의 보안 속성이 표시됩니다. 이 정보를 보려면 파일 서버가 실행 중인 Windows Server 버전에 적합한 다음과 같은 권한과 멤버 자격이 있어야 합니다.
WinRMRemoteWMIUsers 그룹은 기본 Active Directory 보안 그룹에 있는 Windows Server 운영 체제에 적용됩니다.
지원되는 운영 체제 버전을 실행하는 서버에서 파일 공유가 호스트되는 경우:
WinRMRemoteWMIUsers__ 그룹 또는 BUILTIN\Administrators 그룹의 구성원이어야 합니다.
파일 공유에 대한 읽기 권한이 있어야 합니다.
파일 공유가 Windows Server 2012 이전 버전의 Windows Server를 실행하는 서버에서 호스트되는 경우:
BUILTIN\Administrators 그룹의 구성원이어야 합니다.
파일 공유에 대한 읽기 권한이 있어야 합니다.
Windows Server 2012에서 액세스 거부 지원 기능은 인증된 사용자 그룹을 로컬 WinRMRemoteWMIUsers__ 그룹에 추가합니다. 액세스 거부 지원 기능을 사용하도록 설정하면 파일 공유에 대한 읽기 권한이 있는 모든 인증된 사용자는 파일 공유 권한을 볼 수 있습니다.
참고 항목
WinRMRemoteWMIUsers__ 그룹을 사용하면 Windows PowerShell 명령을 원격으로 실행할 수 있습니다. 반면, 일반적으로 Remote Management Users 그룹을 사용하여 사용자가 서버 관리자 콘솔을 사용하여 서버를 관리할 수 있도록 합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-<도메인>-<variable RI> |
| Type | 도메인 로컬 |
| 기본 컨테이너 | CN=Users, DC=<domain>, DC= |
| 기본 구성원 | None |
| 기본 소속 | None |
| AdminSDHolder에 의해 보호되는가? | 아니요 |
| 기본 컨테이너에서 안전하게 이동? | 예 |
| 이 그룹의 관리를 서비스 관리자가 아닌 관리자에게 안전하게 위임? | |
| 기본 사용자 권한 | None |