다음을 통해 공유


특수 ID 그룹

Windows 액세스 제어에 사용되는 Windows Server 특수 ID 그룹(보안 그룹이라고도 함)에 대해 알아보세요.

특수 ID 그룹이란 무엇인가요?

특수 ID 그룹은 Active Directory 사용자 및 기본 제공 컨테이너에 나열된 Active Directory 보안 그룹과 유사합니다. 특수 ID 그룹은 네트워크의 리소스에 대한 액세스 권한을 효율적으로 할당하는 방법을 제공할 수 있습니다. 특수 ID 그룹을 사용하면 가능합니다.

  • Active Directory의 보안 그룹에 사용자 권한을 할당합니다.

  • 리소스에 액세스할 수 있는 권한을 보안 그룹에 할당합니다.

Windows Server에서 특수 ID 그룹이 작동하는 방식

서버가 이 문서의 시작 부분의 적용 대상에 표시된 Windows Server 운영 체제 버전 중 하나를 실행 중인 경우 서버에는 몇 가지 특수 ID 그룹이 있습니다. 이러한 특수 ID 그룹에는 수정할 수 있는 특정 멤버십이 없지만 상황에 따라 서로 다른 사용자를 대표할 수 있습니다.

특정 리소스에 대한 권한 및 권한을 특수 ID 그룹에 할당할 수는 있지만, 특수 ID 그룹의 멤버십을 보거나 수정할 수는 없습니다. 그룹 범위는 특수 ID 그룹에는 적용되지 않습니다. 사용자는 로그인하거나 특정 리소스에 액세스할 때 자동으로 특수 ID 그룹에 할당됩니다.

Active Directory 보안 그룹 및 그룹 범위에 대한 자세한 내용은 Active Directory 보안 그룹을 참조하세요.

기본 특수 ID 그룹

Windows Server의 기본 특수 ID 그룹은 다음 목록에 설명되어 있습니다:

Anonymous Logon

익명 로그온을 통해 시스템에 액세스하는 모든 사용자는 익명 로그온 ID를 갖습니다. 이 ID를 사용하면 회사 서버에 게시된 웹페이지와 같은 리소스에 익명으로 액세스할 수 있습니다. 익명 로그온 그룹은 기본적으로 Everyone 그룹의 구성원이 아닙니다.

attribute
잘 알려진 SID/RID S-1-5-7
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

인증된 키 속성

키 트러스트 개체에 증명 속성이 있음을 의미하는 보안 식별자(SID)입니다.

attribute
잘 알려진 SID/RID S-1-18-6
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

인증된 사용자

로그인 프로세스를 통해 시스템에 액세스하는 모든 사용자는 인증된 사용자 ID를 갖게 됩니다. 이 ID를 사용하면 조직의 모든 작업자가 액세스할 수 있어야 하는 공유 폴더의 파일과 같은 도메인 내의 공유 리소스에 액세스할 수 있습니다. 멤버십은 운영 체제에 의해 제어됩니다.

attribute
잘 알려진 SID/RID S-1-5-11
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight.

도메인에 워크스테이션 추가: SeMachineAccountPrivilege

트래버스 검사 건너뛰기: SeChangeNotifyPrivilege

인증 기관이 확인한 ID

클라이언트 자격 증명의 소유 증명을 기반으로 인증 기관이 클라이언트의 신원을 주장하는 것을 의미하는 SID입니다.

attribute
잘 알려진 SID/RID S-1-18-1
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

Batch

Batch 작업으로 또는 Batch 대기열을 통해 시스템에 액세스하는 모든 사용자 또는 프로세스는 Batch ID를 가집니다. 이 ID를 사용하면 임시 파일을 삭제하는 야간 정리 작업과 같은 예약된 작업을 Batch 작업으로 실행할 수 있습니다. 멤버십은 운영 체제에 의해 제어됩니다.

attribute
잘 알려진 SID/RID S-1-5-3
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 없음

콘솔 로그온

실제 콘솔에 로그온한 사용자를 포함하는 그룹입니다. 이 SID는 사용자에게 콘솔에 대한 물리적 액세스 권한이 부여되었는지 여부에 따라 다른 권한을 부여하는 보안 정책을 구현하는 데 사용할 수 있습니다.

attribute
잘 알려진 SID/RID S-1-2-1
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

Creator 그룹

파일 또는 디렉터리를 만든 사람은 이 특수 ID 그룹의 구성원입니다. Windows Server 운영 체제는 이 ID를 사용하여 파일 또는 디렉터리 creator에게 자동으로 액세스 권한을 부여합니다.

플레이스홀더 SID는 상속 가능한 액세스 제어 항목(ACE)에 만들어집니다. ACE가 상속되면 시스템은 이 SID를 개체의 현재 소유자의 기본 그룹에 대한 SID로 바꿉니다. 기본 그룹은 POSIX 하위 시스템에서만 사용됩니다.

attribute
잘 알려진 SID/RID S-1-3-1
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 없음

Creator 소유자

파일 또는 디렉터리를 만든 사람은 이 특수 ID 그룹의 구성원입니다. Windows Server 운영 체제는 이 ID를 사용하여 파일 또는 디렉터리 creator에게 자동으로 액세스 권한을 부여합니다. 플레이스홀더 SID는 상속 가능한 ACE에 생성됩니다. ACE가 상속되면 시스템에서 이 SID를 개체의 현재 소유자의 SID로 바꿉니다.

attribute
잘 알려진 SID/RID S-1-3-0
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 없음

Dialup (DIALUP)

전화 접속 연결을 통해 시스템에 액세스하는 모든 사용자는 전화 접속 ID를 갖습니다. 이 ID는 전화 접속 사용자를 다른 유형의 인증된 사용자와 구분합니다.

attribute
잘 알려진 SID/RID S-1-5-1
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 없음

다이제스트 인증

attribute
잘 알려진 SID/RID S-1-5-64-21
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 없음

Enterprise Domain Controllers

이 그룹에는 Active Directory 포리스트의 모든 도메인 컨트롤러가 포함됩니다. 전사적인 역할과 책임이 있는 도메인 컨트롤러는 엔터프라이즈 도메인 컨트롤러 ID를 갖습니다. 이 ID를 통해 도메인 컨트롤러는 전이적 신뢰를 사용하여 기업에서 특정 작업을 수행할 수 있습니다. 멤버십은 운영 체제에 의해 제어됩니다.

attribute
잘 알려진 SID/RID S-1-5-9
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight.

로컬로 로그온 허용:: SeInteractiveLogonRight

엔터프라이즈 읽기 전용 도메인 컨트롤러.

이 그룹에는 Active Directory 포리스트의 모든 RODC(읽기 전용 도메인 컨트롤러)가 포함됩니다. 엔터프라이즈 RODC는 포리스트의 모든 도메인에 대한 글로벌 카탈로그 및 읽기 전용 도메인 파티션을 포함하여 Active Directory 데이터베이스의 더 큰 하위 집합을 복제할 수 있습니다. 멤버십은 운영 체제에 의해 제어됩니다.

attribute
잘 알려진 SID/RID S-1-5-21-<RootDomain>-498
Object class 그룹
Active Directory의 기본 위치 CN=Users, DC=<forestRootDomain>
기본 사용자 권한 None

모두

모든 대화형, 네트워크, 전화 접속 및 인증된 사용자는 Everyone 그룹의 구성원입니다. 이 특수 ID 그룹은 시스템 리소스에 대한 폭넓은 액세스 권한을 제공합니다. 사용자가 네트워크에 로그온하면 자동으로 모든 사용자 그룹에 추가됩니다. 멤버십은 운영 체제에 의해 제어됩니다.

Windows 2000 이전 버전을 실행하는 컴퓨터에서는 Everyone 그룹에 익명 로그온 그룹이 기본 구성원으로 포함되어 있습니다. Windows Server 2003부터 Everyone 그룹에는 인증된 사용자 및 게스트만 포함됩니다. 이 그룹에는 더 이상 기본적으로 익명 로그온이 포함되지 않습니다. 익명 로그온 그룹을 포함하도록 Everyone 그룹 설정을 변경하려면 레지스트리 편집기에서 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 키로 이동하여 everyoneincludesanonymous DWORD의 값을 1으로 설정합니다.

attribute
잘 알려진 SID/RID S-1-1-0
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight.

트래버스 검사 건너뛰기: SeChangeNotifyPrivilege

새로운 공개 키 ID

클라이언트 공개 키 자격 증명의 현재 소유 증명을 기반으로 인증 기관이 클라이언트의 신원을 주장하는 것을 의미하는 SID입니다.

attribute
잘 알려진 SID/RID S-1-18-3
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

대화형

로컬 시스템에 로그온한 모든 사용자는 인터랙티브 ID를 갖습니다. 이 ID를 사용하면 로컬 사용자만 리소스에 액세스할 수 있습니다. 사용자가 현재 로그온되어 있는 컴퓨터의 특정 리소스에 액세스하면 해당 사용자는 자동으로 대화형 그룹에 추가됩니다. 멤버십은 운영 체제에 의해 제어됩니다.

attribute
잘 알려진 SID/RID S-1-5-4
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

IUSR

익명 인증을 사용하도록 설정하면 IIS(인터넷 정보 서비스)에서 기본적으로 이 계정을 사용합니다.

attribute
잘 알려진 SID/RID S-1-5-17
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

키 신뢰

클라이언트의 ID는 키 신뢰 개체를 사용하여 공개 키 자격 증명을 소유하고 있다는 증명을 기반으로 한다는 것을 의미하는 SID입니다.

attribute
잘 알려진 SID/RID S-1-18-4
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

로컬 서비스

로컬 서비스 계정은 인증된 사용자 계정과 유사합니다. 로컬 서비스 계정의 회원은 사용자 그룹의 회원과 동일한 수준의 리소스 및 개체 액세스 권한을 가집니다. 이 제한된 액세스 권한 덕분에 개별 서비스나 프로세스가 손상되어도 시스템을 보호할 수 있습니다. 로컬 서비스 계정으로 실행되는 서비스는 익명 자격 증명을 사용하여 네트워크 리소스에 널 세션으로 액세스합니다. 계정 이름은 NT AUTHORITY\LocalService입니다. 이 계정에는 비밀번호가 없습니다.

attribute
잘 알려진 SID/RID S-1-5-19
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 프로세스의 메모리 할당량 조정: SeIncreaseQuotaPrivilege

트래버스 검사 건너뛰기: SeChangeNotifyPrivilege

시스템 시간 변경: SeSystemtimePrivilege

표준 시간대 변경: SeTimeZonePrivilege

글로벌 개체 만들기: SeCreateGlobalPrivilege

보안 감사 생성: SeAuditPrivilege

인증 후 클라이언트 가장: SeImpersonatePrivilege

프로세스 레벨 토큰 교체: SeAssignPrimaryTokenPrivilege

LocalSystem

LocalSystem 계정은 운영 체제에서 사용하는 서비스 계정입니다. LocalSystem 계정은 시스템에 대한 전체 액세스 권한이 있고 네트워크에서 컴퓨터처럼 작동하는 강력한 계정입니다. 서비스가 도메인 컨트롤러의 LocalSystem 계정에 로그온하는 경우 해당 서비스는 전체 도메인에 액세스할 수 있습니다. 일부 서비스는 기본적으로 로컬시스템 계정으로 로그온하도록 구성되어 있습니다. 기본 서비스 설정을 변경하지 마세요. 계정 이름은 LocalSystem입니다. 이 계정에는 비밀번호가 없습니다.

attribute
잘 알려진 SID/RID S-1-5-18
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

MFA 키 속성

키 트러스트 개체에 MFA(다단계 인증) 속성이 있음을 의미하는 SID입니다.

attribute
잘 알려진 SID/RID S-1-18-5
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

네트워크

이 그룹에는 네트워크 연결을 통해 로그온한 모든 사용자가 암시적으로 포함됩니다. 네트워크를 통해 시스템에 액세스하는 모든 사용자는 네트워크 ID를 갖습니다. 이 ID를 사용하면 원격 사용자만 리소스에 액세스할 수 있습니다. 사용자가 네트워크를 통해 특정 리소스에 액세스하면 해당 사용자는 자동으로 네트워크 그룹에 추가됩니다. 멤버십은 운영 체제에 의해 제어됩니다.

attribute
잘 알려진 SID/RID S-1-5-2
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

네트워크 서비스

네트워크 서비스 계정은 인증된 사용자 계정과 유사합니다. 네트워크 서비스 계정의 회원은 사용자 그룹의 회원과 동일한 수준의 리소스 및 개체에 대한 액세스 권한을 갖습니다. 이 제한된 액세스 권한 덕분에 개별 서비스나 프로세스가 손상되어도 시스템을 보호할 수 있습니다. 네트워크 서비스 계정으로 실행되는 서비스는 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 액세스합니다. 계정 이름은 NT AUTHORITY\NetworkService입니다. 이 계정에는 비밀번호가 없습니다.

attribute
잘 알려진 SID/RID S-1-5-20
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 프로세스의 메모리 할당량 조정: SeIncreaseQuotaPrivilege

트래버스 검사 건너뛰기: SeChangeNotifyPrivilege

글로벌 개체 만들기: SeCreateGlobalPrivilege

보안 감사 생성: SeAuditPrivilege

인증 후 클라이언트 가장: SeImpersonatePrivilege

프로세스 레벨 토큰 교체: SeAssignPrimaryTokenPrivilege

NTLM 인증

attribute
잘 알려진 SID/RID S-1-5-64-10
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

다른 조직

이 그룹에는 전화 접속 연결을 통해 시스템에 로그온한 모든 사용자가 암시적으로 포함됩니다. 멤버십은 운영 체제에 의해 제어됩니다.

attribute
잘 알려진 SID/RID S-1-5-1000
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

소유자 권한

소유자 권한 그룹은 개체의 현재 소유자를 나타냅니다. 이 SID를 가진 ACE가 개체에 적용되면 시스템은 개체 소유자에 대한 암시적 READ_CONTROL 및 WRITE_DAC 권한을 무시합니다.

attribute
잘 알려진 SID/RID S-1-3-4
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

주체 자체

이 ID는 Active Directory의 사용자, 그룹 또는 컴퓨터 개체에 대한 ACE의 자리 표시자입니다. 본인 본인에게 권한을 부여하면 개체가 나타내는 보안 주체에게 권한을 부여하는 것입니다. 액세스 검사 중에 운영 체제는 본인에 대한 SID를 개체가 나타내는 보안 주체에 대한 SID로 바꿉니다.

attribute
잘 알려진 SID/RID S-1-5-10
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

프록시

SECURITY_NT_AUTHORITY 프록시를 식별합니다.

attribute
잘 알려진 SID/RID S-1-5-8
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

Read-only Domain Controllers

이 그룹에는 Active Directory 데이터베이스에 대한 읽기 전용 권한이 있는 도메인의 모든 RODC가 포함됩니다. 계정 암호를 제외하고 RODC는 쓰기 가능한 도메인 컨트롤러가 보유한 모든 Active Directory 개체 및 특성을 보유합니다. 물리적 보안이 부족하거나 보장되지 않는 경우 도메인 컨트롤러를 배포할 수 있습니다. RODC는 이 그룹의 명시적 구성원입니다.

attribute
잘 알려진 SID/RID S-1-5-21-<domain>-521
Object class 그룹
Active Directory의 기본 위치 CN=Users, DC=<rootDomain>
기본 사용자 권한 None

참고 항목

거부된 RODC 비밀번호 복제 그룹은 포리스트에서 RODC 계정을 만들면 자동으로 만들어집니다. 거부된 RODC 비밀번호 복제 그룹에서는 비밀번호를 복제할 수 없습니다.

원격 대화형 로그온

이 ID는 현재 원격 데스크톱 프로토콜 연결을 사용하여 컴퓨터에 로그온한 모든 사용자를 나타냅니다. 이 그룹은 인터랙티브 그룹의 하위 집합입니다. 원격 대화형 로그온 SID를 포함하는 액세스 토큰에는 대화형 SID도 포함되어 있습니다.

attribute
잘 알려진 SID/RID S-1-5-14
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

Restricted

기능이 제한된 사용자 및 컴퓨터는 제한된 ID를 갖습니다. 이 ID 그룹은 RunAs 서비스를 사용하여 애플리케이션을 실행하는 등 제한된 보안 컨텍스트에서 실행되는 프로세스에서 사용됩니다. 제한된 보안 수준에서 코드가 실행되면 사용자의 액세스 토큰에 제한된 SID가 추가됩니다.

attribute
잘 알려진 SID/RID S-1-5-12
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

SChannel Authentication

attribute
잘 알려진 SID/RID S-1-5-64-14
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

서비스

시스템에 액세스하는 모든 서비스에는 서비스 ID가 있습니다. 이 ID 그룹에는 서비스로 로그인한 모든 보안 주체가 포함됩니다. 이 ID는 Windows Server 서비스가 실행 중인 프로세스에 대한 액세스 권한을 부여합니다. 멤버십은 운영 체제에 의해 제어됩니다.

attribute
잘 알려진 SID/RID S-1-5-6
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 글로벌 개체 만들기: SeCreateGlobalPrivilege

인증 후 클라이언트 가장: SeImpersonatePrivilege

서비스 확인된 ID

클라이언트의 ID가 서비스에 의해 확인되었음을 의미하는 SID입니다.

attribute
잘 알려진 SID/RID S-1-18-2
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

터미널 서버 사용자

터미널 서비스를 통해 시스템에 액세스하는 모든 사용자에게는 터미널 서버 사용자 ID가 있습니다. 이 ID를 통해 사용자는 터미널 서버 애플리케이션에 액세스하고 터미널 서버 서비스를 사용하여 기타 필요한 작업을 수행할 수 있습니다. 멤버십은 운영 체제에 의해 제어됩니다.

attribute
잘 알려진 SID/RID S-1-5-13
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

This Organization

attribute
잘 알려진 SID/RID S-1-5-15
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 None

Window Manager\Window Manager 그룹

attribute
잘 알려진 SID/RID S-1-5-90
Object class 외국 보안 책임자
Active Directory의 기본 위치 CN=WellKnown 보안 주체, CN=구성, DC=<forestRootDomain>
기본 사용자 권한 트래버스 검사 건너뛰기: SeChangeNotifyPrivilege

프로세스 작업 세트 늘리기: SeIncreaseWorkingSetPrivilege

참고 항목