부록 B: Active Directory의 권한 있는 계정 및 그룹
부록 B: Active Directory의 권한 있는 계정 및 그룹
Active Directory의 "권한 있는" 계정 및 그룹을 강력한 권한, 권한 및 사용 권한을 부여 되어 Active Directory 및 도메인에 가입 된 시스템에서 거의 모든 작업을 수행할 수 있도록 하는입니다. 이 부록 권한, 권한, 사용 하 여 시작 하 고 사용 권한을 가장 강력한 계정 및 그룹 즉, "최고 권한" 계정 및 Active Directory의 그룹에 대 한 정보로 수행 합니다.
기본 제공 및 기본 계정 및 해당 권한 외에도 Active Directory의 그룹에 대 한 정보도 제공 됩니다. 특정 구성 권장 사항은 가장 높은 권한 계정 및 그룹을 보호 하기 위한 별도 부록으로 제공 하지만이 부록 사용자 및 보안에 중점을 두어야 하는 그룹을 식별 하는 데 도움이 되는 배경 정보를 제공 합니다. 손상 하 고 Active Directory 설치를 파괴도 공격자가 활용할 수 있으므로 이렇게 해야 합니다.
권한, 권한 및 Active Directory의 사용 권한
권한, 권한 및 권한 간의 차이점은 혼란 스 러 모순 설명서 Microsoft에서 내 에서도 사용할 수 있습니다. 이 문서에 사용 되는이 섹션에서는 각각의 특성 중 일부 설명 합니다. 이러한 설명은 간주 되지 않아야 다른 Microsoft 문서에 대 한 신뢰할 수 있는 이러한 용어를 다르게 사용 될 수 있습니다.
권한 및 사용 권한
권한 및 특권와 동일한 시스템 차원의 기능을 사용자, 서비스, 컴퓨터 또는 그룹과 같은 보안 주체에 부여 되어 시작 됩니다. IT 전문가에 게 일반적으로 사용 되는 인터페이스에서이 일반적으로 라고 "권한" 또는 "사용자 권한이" 하 고 그룹 정책 개체에 의해 할당 된 경우가 많습니다. 다음 스크린샷은 일부의 보안 주체에 할당할 수 있는 가장 일반적인 사용자 권한 (Windows Server 2012 도메인에서 기본 도메인 컨트롤러 GPO 나타냅니다). 와 같은 Active Directory에 적용이 권한 중 일부는 컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수 사용자와 같은 다른 권한이 Windows 운영 체제에 적용 하는 동안에 권한을 시스템 시간 변경합니다.
그룹 정책 개체 편집기와 같은 인터페이스에 할당할 수 있는 이러한 기능은 모두 라고 광범위 하 게 사용자 권한. 그러나 실제로 일부 사용자 권한은 프로그래밍 방식으로 라고 권한을 다른 사용자는 프로그래밍 방식으로 라고 권한 하는 동안. 테이블 B-1: 사용자 권한과 권한을 제공 몇 가지 가장 일반적인 할당할 수 있는 사용자 권한 및 프로그래밍 방식으로 해당 상수입니다. 그룹 정책 및 다른 인터페이스를 참조 하지만 이러한 사용자 권한으로 모든, 일부 프로그래밍 방식으로 식별 됩니다 권한의으로 동안 다른 사용자 권한으로 정의 됩니다.
사용자 권한에 다음 표에 나열 된 각에 대 한 자세한 내용은 표의 링크를 사용 하거나 참조 위협 및 대책 가이드: 사용자 권한 에 위협 및 취약점 완화 Microsoft TechNet 사이트에서 Windows Server 2008 r 2에 대 한 가이드입니다. Windows Server 2008에 적용 가능한 사용 되는 정보를 참조 하십시오 사용자 권한 에 위협 및 취약점 완화 Microsoft TechNet 사이트에 대 한 설명서입니다. 이 문서를 작성할 당시 Windows Server 2012에 대 한 해당 설명서 아직 게시 되지 않은 합니다.
참고 항목
이 문서에서는 "권한" 및 "사용자 권한을" 달리 지정 하지 않으면 권한과 사용 권한을 식별 하는 데 사용 됩니다.
테이블 B-1: 사용자 권한 및 사용 권한
| 사용자 그룹 정책에서 오른쪽 | 상수 이름 |
|---|---|
| 신뢰할 수 있는 호출자로 액세스 자격 증명 관리자 | SeTrustedCredManAccessPrivilege |
| 네트워크에서 이 컴퓨터 액세스 | SeNetworkLogonRight |
| 운영 체제의 일부로 작동 | SeTcbPrivilege |
| 도메인에 워크스테이션 추가 | SeMachineAccountPrivilege |
| 프로세스에 대한 메모리 할당량 조정 | SeIncreaseQuotaPrivilege |
| 로컬 로그온 허용 | SeInteractiveLogonRight |
| 터미널 서비스를 통한 로그온 허용 | SeRemoteInteractiveLogonRight |
| 파일 및 디렉터리 백업 | SeBackupPrivilege |
| 트래버스 검사 바이패스 | SeChangeNotifyPrivilege |
| 시스템 시간 변경 | SeSystemtimePrivilege |
| 시간대 변경 | SeTimeZonePrivilege |
| 페이지 파일 만들기 | SeCreatePagefilePrivilege |
| 토큰 개체 만들기 | SeCreateTokenPrivilege |
| 전역 개체 만들기 | SeCreateGlobalPrivilege |
| 영구 공유 개체 만들기 | SeCreatePermanentPrivilege |
| 기호 링크 만들기 | SeCreateSymbolicLinkPrivilege |
| 프로그램 디버그 | SeDebugPrivilege |
| 네트워크에서 이 컴퓨터 액세스 거부 | SeDenyNetworkLogonRight |
| 일괄 작업으로 로그온 거부 | SeDenyBatchLogonRight |
| 서비스로 로그온 거부 | SeDenyServiceLogonRight |
| 로컬 로그온 거부 | SeDenyInteractiveLogonRight |
| 터미널 서비스를 통한 로그온 거부 | SeDenyRemoteInteractiveLogonRight |
| 컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수 | SeEnableDelegationPrivilege |
| 원격 시스템에서 강제 종료 | SeRemoteShutdownPrivilege |
| 보안 감사 생성 | SeAuditPrivilege |
| 인증 후 클라이언트 가장 | SeImpersonatePrivilege |
| 프로세스 작업 집합 향상 | SeIncreaseWorkingSetPrivilege |
| 예약 우선 순위 증가 | SeIncreaseBasePriorityPrivilege |
| 디바이스 드라이버 로드 및 언로드 | SeLoadDriverPrivilege |
| 메모리 내 페이지 잠금 | SeLockMemoryPrivilege |
| 일괄 작업으로 로그온. | SeBatchLogonRight |
| 서비스로 로그온 | SeServiceLogonRight |
| 감사 및 보안 로그 관리 | SeSecurityPrivilege |
| 개체 레이블 수정 | SeRelabelPrivilege |
| 펌웨어 환경 값 수정 | SeSystemEnvironmentPrivilege |
| 볼륨 유지 관리 작업 수행 | SeManageVolumePrivilege |
| 단일 프로세스 프로필 | SeProfileSingleProcessPrivilege |
| 시스템 성능 프로필 | SeSystemProfilePrivilege |
| 도킹 스테이션에서 컴퓨터 제거 | SeUndockPrivilege |
| 프로세스 수준 토큰 바꾸기 | SeAssignPrimaryTokenPrivilege |
| 파일 및 디렉터리 복원 | SeRestorePrivilege |
| 시스템 종료 | SeShutdownPrivilege |
| 디렉터리 서비스 데이터 동기화 | SeSyncAgentPrivilege |
| 파일 또는 기타 개체의 소유권 가져오기 | SeTakeOwnershipPrivilege |
사용 권한
사용 권한은 파일 시스템, 레지스트리, 서비스 및 Active Directory 개체와 같은 보안 개체에 적용 되는 액세스 제어 합니다. 각 보안 개체에 부여 하거나 거부할 보안 주체 (사용자, 서비스, 컴퓨터 또는 그룹)의 개체에 대 한 다양 한 작업을 수행할 수 있는 액세스 제어 항목 (Ace)를 포함 하는 연결 된 액세스 제어 목록 (ACL)에 있습니다. 예를 들어, Active Directory의 많은 개체에 대 한 Acl에는 인증 된 사용자 개체에 대 한 일반 정보를 읽을 수 있도록 하지만 중요 한 정보를 읽을 하거나 개체를 변경 하는 기능이 부여 하지 마십시오 ace가 포함 되어 있습니다. 각 도메인의 기본 제공 Guest 계정을 제외 하 고 로그온 하 고 Active Directory 포리스트 또는 트러스트 된 포리스트의 도메인 컨트롤러에서 인증 하는 모든 보안 주체는 인증 된 사용자 SID (보안 식별자) 기본적으로 해당 액세스 토큰에 추가 했습니다. 따라서 사용자, 서비스 또는 컴퓨터 계정 도메인의 사용자 개체에 대 한 일반 속성을 읽는 시도, 읽기 작업 인지 성공 합니다.
개체에 액세스 하지는 Ace에 대 한 보안 주체 시도가 정의 된 경우 주 서버의 액세스 토큰에 있는 SID를 포함 하는 보안 주체 개체를 액세스할 수 없습니다. 또한 개체의 ACL에서 ACE는 사용자의 액세스 토큰을 "deny" ACE 일치 하는 SID에 대 한 거부 항목을 포함 하는 경우는 일반적으로 재정의 충돌 하는 "허용" ACE입니다. Windows에서 액세스 제어에 대 한 자세한 내용은 참조 액세스 제어 MSDN 웹 사이트입니다.
이 문서에서 사용 권한 또는 보안 개체에 대해 보안 주체에 거부 되는 기능을 참조 합니다. 사용자 권한 및 사용 권한을 사이 충돌이 있을 때마다 일반적으로 사용자 권한이 우선 합니다. 예를 들어, Active Directory에서 개체 관리자 대 한 모든 읽기 및 개체에 대 한 쓰기 액세스 거부 하는 ACL로 구성 된 경우 해당 도메인의 관리자 그룹의 구성원 인 사용자 되지 것입니다 개체에 대 한 많은 정보를 볼 수 있습니다. 그러나 Administrators 그룹에 사용자 오른쪽 "소유권 가져오기 파일 또는 다른 개체의" 부여 되므로, 사용자 수, 개체의 소유권을 가져올 다음 하면 관리자는 개체의 모든 권한을 부여 하는 개체의 ACL을 다시 작성 됩니다.
이 문서 권장 계정 및 그룹의 기능을 제한 하는 대신 강력한 계정 및 그룹을 사용 하 여 일상적인 관리에 대 한 방지 하는 이러한 이유 때문입니다. 이러한 자격 증명을 사용 하 여 모든 보안 리소스에 액세스 하기를 강력한 자격 증명에 액세스 권한이 있는 사용자를 중지 하려면 사실상 불가능 합니다.
기본 제공 계정 및 그룹 권한
Active Directory 관리 권한을 위임 하 고 권한 및 사용 권한 할당에 최소 권한의 원칙을 용이 하 게 하는 데 사용 됩니다. Active Directory 도메인에 계정이 있는 "일반" 사용자는 기본적으로 대부분의 디렉터리에 저장 된 것을 읽을 수 있지만 디렉터리에 있는 데이터의 매우 제한 된 집합만 변경할 수 있습니다. 추가 권한이 필요한 사용자 역할에 관련 된 특정 작업을 수행할 수 있으 업무와 관련 되지 않은 작업을 수행할 수 없습니다 있도록 디렉터리에 제공 되는 다양 한 권한 있는 그룹의 구성원 자격을 부여할 수 있습니다.
Active Directory 내에는 디렉터리에서 가장 높은 권한 그룹을 구성하는 세 개의 기본 제공 그룹과 네 번째 그룹인 SA(스키마 관리자) 그룹이 있습니다.
SA(스키마 관리자) 그룹에는 남용될 경우 전체 Active Directory 포리스트를 손상시키거나 파괴할 수 있는 권한이 있지만 이 그룹은 EA, DA 및 BA 그룹보다 기능이 더 제한됩니다.
이러한 4 개의 그룹 외에도 추가 기본 제공 하 고 기본 계정 및 권한 및 특정 관리 작업을 수행할 수 있도록 권한을 부여 되는 Active Directory에서 그룹에는 여러 가지가 있습니다. 이 부록에는 Active Directory의 모든 기본 제공 필드 또는 기본 그룹에 대 한 자세한 설명은 제공 되지 않아도, 그룹 및 설치에서 가능성이 가장 높은 참조 하는 계정에 테이블을 제공지 않습니다.
예를 들어 Microsoft Exchange Server Active Directory 포리스트를 설치한 추가 계정 및 그룹 생성 될 수도 있습니다 도메인에 기본 제공 및 사용자 컨테이너에 있습니다. 이 부록에는 그룹 및 기본 역할 및 기능에 따라 Active Directory에서 기본 제공 및 사용자 컨테이너에서 만든 계정에 설명 합니다. 계정 및 엔터프라이즈 소프트웨어의 설치에서 만들어지는 그룹에 포함 되지 않습니다.
Enterprise Admins
Enterprise Admins (EA) 그룹은 포리스트 루트 도메인에 있으며 기본적으로 포리스트의 모든 도메인에 기본 제공 Administrators 그룹의 구성원은. 포리스트 루트 도메인에 기본 제공 관리자 계정에는 EA 그룹의 유일한 기본 멤버입니다. EAs 권한 및 포리스트 차원의 변경 작업에 영향을 줄 수 있는 권한이 부여 됩니다. 이들은 추가 또는 제거 하는 도메인, 포리스트 트러스트를 설정 또는 포리스트 기능 수준 올리기 등 포리스트의 모든 도메인에 영향을 주는 변경 내용입니다. 제대로 설계 및 구현 된 위임 모델에서는 먼저 포리스트를 구성 하는 경우에 또는 아웃 바운드 포리스트 트러스트를 구축 하는 등 특정 포리스트 차원의 변경을 수행할 때 EA 멤버 자격이 필요 합니다.
EA 그룹은 포리스트 루트 도메인의 사용자 컨테이너에는 기본적으로 있으며 포리스트 루트 도메인 경우 그룹은 글로벌 보안 그룹이 있는 Windows 2000 Server 혼합된 모드에서 실행 되지 않으면 그룹은 유니버설 보안 그룹. EA 그룹에 직접 일부 권한이 부여 되지만 다양 한이 그룹의이 권한이 실제로 상속 EA 그룹 포리스트의 각 도메인의 관리자 그룹의 구성원이 아니어서 합니다. 엔터프라이즈 관리자 권한이 없는 기본 워크스테이션 또는 구성원 서버에서 합니다.
Domain Admins
포리스트의 각 도메인에 도메인에 가입 하는 모든 컴퓨터에서 로컬 관리자 그룹의 구성원 외에도 해당 도메인의 기본 제공 관리자 (BA) 그룹의 구성원 인 자체 도메인 관리자 (DA) 그룹을 있습니다. 도메인에 대 한 DA 그룹의 유일한 기본 멤버는 해당 도메인에 대 한 기본 제공 관리자 계정.
DAs는 EAs 포리스트 전체 권한을 있지만 자신의 도메인 내에서 모든 권한을 가집니다. 제대로 설계 및 구현 된 위임 모델을 DA 멤버 자격이 필요 하다 고는 도메인의 모든 컴퓨터에서 높은 수준의 권한 가진 계정 또는 때 특정 도메인 넓은 변경 해야 하는 경우 "유리 중단" 시나리오에만 받아야 합니다. 네이티브 Active Directory 위임 메커니즘을 허용 않으면 위임 정도로 DA 계정을 응급 시나리오에만 사용할 수 있지만 효과적인 위임 모델 생성 시간이 오래 걸릴 수 있으며 대부분의 조직에서는 타사 애플리케이션을 사용 하 여 프로세스를 신속 하 게 처리 합니다.
DA 그룹 도메인의 사용자 컨테이너에 있는 글로벌 보안 그룹이입니다. 포리스트의 각 도메인에 대해 하나의 DA 그룹 않으며 DA 그룹의 유일한 기본 멤버는 해당 도메인의 기본 제공 관리자 계정입니다. 도메인의 DA 그룹은 도메인의 BA 그룹 및 모든 도메인에 가입 된 시스템의 로컬 관리자 그룹에 중첩 된, DAs 뿐만 아니라 사용 권한이 특별히 Domain Admins에 부여 된 하지만 모든 권한 및 도메인의 관리자 그룹 및 도메인에 가입 하는 모든 시스템에서 로컬 관리자 그룹에 부여 된 권한을 또한 상속.
관리자
기본 제공 관리자 (BA) 그룹에는 도메인의 기본 제공 컨테이너를 DAs과 EAs 중첩 되어 있고이 그룹에 다 수의 직접 권한 및 도메인 컨트롤러와 디렉터리에 대 한 권한이 부여 되는 도메인 로컬 그룹이입니다. 그러나 도메인에 대 한 관리자 그룹 모든 권한이 없는 워크스테이션 또는 구성원 서버에 있습니다. 도메인에 가입 된 컴퓨터의 로컬 Administrators 그룹의 멤버 자격이 있는 로컬 권한 부여 됩니다. 되며 설명 그룹의 DAs만 기본적으로 모든 도메인에 가입 된 컴퓨터의 로컬 관리자 그룹의 구성원.
Administrators 그룹은 도메인의 기본 제공 컨테이너에는 도메인 로컬 그룹입니다. 모든 도메인 BA 그룹에는 기본적으로 로컬 도메인의 기본 제공 관리자 계정, 로컬 도메인의 DA 그룹과 포리스트 루트 도메인의 EA 그룹이 포함 됩니다. Active Directory 및 도메인 컨트롤러에 많은 수의 사용자 권한은 EAs 또는 DAs Administrators 그룹에 명시적으로 부여 됩니다. 도메인의 BA 대부분의 디렉터리 개체에 대 한 모든 권한이 부여 됩니다 그룹과 디렉터리 개체의 소유권을 가져올 수 있습니다. EA 및 DA 그룹 포리스트 및 도메인의 특정 개체에 한정 사용 권한이 부여 될 경우 그룹의 강력은 실제로 "상속" BA 그룹의 멤버 자격은에서.
참고 항목
이러한 옵션은 이러한 권한 있는 그룹의 기본 구성, 세 그룹 중 하나의 멤버인 다른 그룹의 구성원을 얻으려고 디렉터리를 조작할 수 있습니다. 일부 경우에는 더 어렵게 하지만 잠재적인 문제점 관점에서 세 그룹 고려해 야과 동등 달성 하기 위해 쉽기도 합니다.
Schema Admins
스키마 관리자 (SA) 그룹 포리스트 루트 도메인의 유니버설 그룹 이며 해당 도메인의 기본 제공 관리자 계정에만 EA 그룹 비슷합니다 기본 멤버로 있습니다. SA 그룹의 멤버 자격 공격자가 전체 Active Directory 포리스트에 대 한 프레임 워크인 Active Directory 스키마를 손상 시킬 수 있지만 SAs 몇 가지 기본 권한을 갖습니다 스키마 이상.
신중 하 게 관리 하 고 SA 그룹의 멤버 자격을 모니터링 해야 하지만이 그룹은 몇 가지 측면에서 "가장 높은 세 가지 보다" 권한 있는 덜 권한 있는 그룹의 권한 범위가 매우 좁은; 때문에 앞에서 설명한 즉, SAs 관리 권한이 없습니다 스키마 이외의 위치입니다.
추가 기본 제공 및 Active Directory의 기본 그룹
디렉터리에 대 한 관리를 위임 하려면 Active Directory 특정 권한 및 사용 권한이 부여 된 다양 한 기본 제공 및 기본 그룹 함께 제공 됩니다. 이러한 그룹은 다음 표에 간략하게 설명 되어 있습니다.
다음 표에서 Active Directory의 기본 제공 및 기본 그룹을 나열 합니다. 기본적으로 그룹의 두 집합이 존재 그러나 기본 제공 그룹은 기본적으로 컨테이너에 있는 기본 제공 Active Directory에서 기본 그룹 (기본적으로) Active Directory의 사용자 컨테이너에 있는 동안. 기본 제공 컨테이너의 그룹의 사용자 컨테이너의 그룹은 개별 사용자 계정 3 개 (관리자, Guest 및 Krbtgt) 외에도 도메인 로컬, 글로벌 및 유니버설 그룹의 혼합 하는 동안 모든 도메인 로컬 그룹 됩니다.
이 부록 앞부분에서 설명한 가장 높은 권한 있는 그룹, 외에도 몇 가지 기본 제공 및 기본 계정 및 그룹 부여 된 승격 된 권한을 사용 하 고 해야도 보호 및 보안 관리 호스트에만 사용 합니다. 이러한 그룹 및 계정 테이블 B-1의 음영 처리 된 행에서 확인할 수 있습니다: 기본 제공 및 기본 그룹 및 Active Directory의 계정입니다. 에 설명 된 대로 추가 보호 권한 및 Active Directory 또는 도메인 컨트롤러를 손상 시키는 잘못 사용 될 수 있는 사용 권한이 부여 되므로 이러한 그룹 및 계정 중 일부를 제공 된 이러한 부록 c: 보호 된 계정 및 Active Directory의 그룹합니다.
테이블 B-1: 기본 제공 하 고 기본 계정 및 Active Directory의 그룹
| 계정 또는 그룹 | 기본 컨테이너, 그룹 범위 및 종류 | 설명 및 기본 사용자 권한 |
|---|---|---|
| 액세스 제어 지원 연산자 (Windows Server 2012의에서 Active Directory) | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 멤버는이 컴퓨터의 리소스에 대 한 사용 권한과 권한 부여 특성에 원격으로 쿼리할 수 있습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Account Operators | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
멤버에는 도메인 사용자 및 그룹 계정을 관리할 수 있습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 관리자 계정 | 사용자 컨테이너 그룹 아님 |
도메인 관리에 대 한 기본 제공 계정입니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 프로세스의 메모리 할당량 조정 로컬 로그온 허용 원격 데스크톱 서비스를 통한 로그온 허용 파일 및 디렉터리 백업 트래버스 검사 무시 시스템 시간 변경 시간대 변경 페이지 파일 만들기 전역 개체 만들기 기호 링크 만들기 프로그램 디버그 컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수 원격 시스템에서 강제 종료 인증 후 클라이언트 가장 프로세스 작업 집합 향상 예약 우선 순위 증가 디바이스 드라이버 로드 및 언로드 일괄 작업으로 로그온. 감사 및 보안 로그 관리 펌웨어 환경 값 수정 볼륨 유지 관리 작업 수행 단일 프로세스 프로필 시스템 성능 프로필 도킹 스테이션에서 컴퓨터 제거 파일 및 디렉터리 복원 시스템 종료 파일 또는 기타 개체의 소유권 가져오기 |
| 관리자 그룹 | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
관리자가 도메인에 제한 없이 액세스할 수 있으며 직접 사용자 권한: 네트워크에서 이 컴퓨터 액세스 프로세스의 메모리 할당량 조정 로컬 로그온 허용 원격 데스크톱 서비스를 통한 로그온 허용 파일 및 디렉터리 백업 트래버스 검사 무시 시스템 시간 변경 시간대 변경 페이지 파일 만들기 전역 개체 만들기 기호 링크 만들기 프로그램 디버그 컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수 원격 시스템에서 강제 종료 인증 후 클라이언트 가장 예약 우선 순위 증가 디바이스 드라이버 로드 및 언로드 일괄 작업으로 로그온. 감사 및 보안 로그 관리 펌웨어 환경 값 수정 볼륨 유지 관리 작업 수행 단일 프로세스 프로필 시스템 성능 프로필 도킹 스테이션에서 컴퓨터 제거 파일 및 디렉터리 복원 시스템 종료 파일 또는 기타 개체의 소유권 가져오기 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 허용 된 RODC 암호 복제 그룹 | 사용자 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 멤버에에서는 도메인의 모든 읽기 전용 도메인 컨트롤러에 복제 암호를 가질 수 있습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Backup Operators | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
백업 운영자를 백업 하거나 복원할 파일의 유일한 용도 대 한 보안 제한을 재정의할 수 있습니다. 직접 사용자 권한: 로컬 로그온 허용 파일 및 디렉터리 백업 일괄 작업으로 로그온. 파일 및 디렉터리 복원 시스템 종료 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Cert Publishers | 사용자 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 디렉터리에 인증서 게시 허용 됩니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 인증서 서비스 DCOM 액세스 | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
(권장 하지 않음)는 도메인 컨트롤러에서 인증서 서비스가 설치 되어 있는 경우이 그룹에 도메인 사용자와 도메인 컴퓨터에 DCOM 등록 액세스 권한을 부여 합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 복제 가능 도메인 컨트롤러 (Windows Server 2012AD DS에서 AD DS) | 사용자 컨테이너 글로벌 보안 그룹 |
도메인 컨트롤러를 복제할 수 있는이 그룹의 멤버입니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Cryptographic Operators | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
암호화 작업을 수행 하는 멤버가 있는 합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 디버거 사용자 | 이와 기본값도 아니고는 기본 제공 그룹은 아니지만 AD DS에 있는 경우 추가로 조사 하기 위해 원인입니다. | 디버거 사용자 그룹의 존재는 디버깅 도구를 Visual Studio, SQL, Office 또는 다른 애플리케이션을 통해 필요 하 고이 디버깅 환경 지원 하는지 여부를 특정 시점에 시스템에 설치 되어 있는지를 나타냅니다. 이 그룹에는 컴퓨터에 원격 디버깅 액세스할 수 있습니다. 이 그룹에 도메인 수준의 있으면 디버거 또는 디버거를 포함 하는 애플리케이션 도메인 컨트롤러에 설치 되어 있는지를 나타냅니다. |
| 거부 된 RODC 암호 복제 그룹 | 사용자 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의에서 구성원 도메인의 모든 읽기 전용 도메인 컨트롤러에 복제 암호를 사용할 수 없습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| DHCP Administrators | 사용자 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원 DHCP 서버 서비스에 대 한 관리 액세스를 보유 합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| DHCP Users | 사용자 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원 DHCP 서버 서비스에 대 한 보기 전용 액세스를 보유 합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Distributed COM Users | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 멤버는 시작, 활성화 및이 컴퓨터에 분산된 COM 개체를 사용할 수 있습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| DnsAdmins | 사용자 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원 DNS 서버 서비스에 대 한 관리 액세스를 보유 합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| DnsUpdateProxy | 사용자 컨테이너 글로벌 보안 그룹 |
이 그룹의 멤버는 동적 업데이트를 직접 수행할 수 없는 클라이언트를 대신 하 여 동적 업데이트를 수행 하도록 허용 된 DNS 클라이언트입니다. 이 그룹의 구성원은 일반적으로 DHCP 서버. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Domain Admins | 사용자 컨테이너 글로벌 보안 그룹 |
도메인의 지정된 관리자; Domain Admins는 도메인에 가입된 모든 컴퓨터의 로컬 관리자 그룹의 구성원이며 도메인의 관리자 그룹 외에도 로컬 관리자 그룹에 부여된 권한 및 사용 권한을 받습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 프로세스의 메모리 할당량 조정 로컬 로그온 허용 원격 데스크톱 서비스를 통한 로그온 허용 파일 및 디렉터리 백업 트래버스 검사 무시 시스템 시간 변경 시간대 변경 페이지 파일 만들기 전역 개체 만들기 기호 링크 만들기 프로그램 디버그 컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수 원격 시스템에서 강제 종료 인증 후 클라이언트 가장 프로세스 작업 집합 향상 예약 우선 순위 증가 디바이스 드라이버 로드 및 언로드 일괄 작업으로 로그온. 감사 및 보안 로그 관리 펌웨어 환경 값 수정 볼륨 유지 관리 작업 수행 단일 프로세스 프로필 시스템 성능 프로필 도킹 스테이션에서 컴퓨터 제거 파일 및 디렉터리 복원 시스템 종료 파일 또는 기타 개체의 소유권 가져오기 |
| 도메인 컴퓨터 | 사용자 컨테이너 글로벌 보안 그룹 |
도메인에 가입된 모든 워크스테이션과 서버는 기본적으로 이 그룹의 구성원입니다. 직접 사용자 권한을 기본: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 도메인 컨트롤러 하나 이상 | 사용자 컨테이너 글로벌 보안 그룹 |
도메인의 모든 컨트롤러. 참고: 도메인 컨트롤러는 도메인 컴퓨터 그룹의 멤버인 되지 않습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 도메인 게스트 | 사용자 컨테이너 글로벌 보안 그룹 |
도메인의 모든 게스트 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 도메인 사용자 | 사용자 컨테이너 글로벌 보안 그룹 |
도메인의 모든 사용자 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 엔터프라이즈 관리자(포리스트 루트 도메인에만 존재) | 사용자 컨테이너 유니버설 보안 그룹 |
엔터프라이즈 관리자는 포리스트 전체 구성 설정을 변경할 수 있는 권한이 있으며, 엔터프라이즈 관리자는 모든 도메인의 관리자 그룹의 구성원이며 해당 그룹에 부여된 권한과 사용 권한을 받습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 프로세스의 메모리 할당량 조정 로컬 로그온 허용 원격 데스크톱 서비스를 통한 로그온 허용 파일 및 디렉터리 백업 트래버스 검사 무시 시스템 시간 변경 시간대 변경 페이지 파일 만들기 전역 개체 만들기 기호 링크 만들기 프로그램 디버그 컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수 원격 시스템에서 강제 종료 인증 후 클라이언트 가장 프로세스 작업 집합 향상 예약 우선 순위 증가 디바이스 드라이버 로드 및 언로드 일괄 작업으로 로그온. 감사 및 보안 로그 관리 펌웨어 환경 값 수정 볼륨 유지 관리 작업 수행 단일 프로세스 프로필 시스템 성능 프로필 도킹 스테이션에서 컴퓨터 제거 파일 및 디렉터리 복원 시스템 종료 파일 또는 기타 개체의 소유권 가져오기 |
| 엔터프라이즈 읽기 전용 도메인 컨트롤러. | 사용자 컨테이너 유니버설 보안 그룹 |
이 그룹에는 포리스트의 모든 읽기 전용 도메인 컨트롤러에 대한 계정이 포함됩니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Event Log Readers | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 도메인 컨트롤러의 이벤트 로그를 읽을 수 있습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Group Policy Creator Owners | 사용자 컨테이너 글로벌 보안 그룹 |
이 그룹의 구성원은 도메인에서 그룹 정책 개체를 만들고 수정할 수 있습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 게스트 | 사용자 컨테이너 그룹 아님 |
이 계정은 AD DS 도메인에서 액세스 토큰에 인증된 사용자 SID가 추가되지 않은 유일한 계정입니다. 따라서 Authenticated Users 그룹에 대 한 액세스를 부여 하도록 구성 된 모든 리소스는이 계정에 액세스할 수 없습니다. 하지만이 동작은 도메인 게스트 및 Guests 그룹의 구성원의 true 이면-해당 그룹의가 인증 된 사용자 SID 액세스 토큰에 추가 합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 게스트 | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
게스트는 기본적으로 Users 그룹의 구성원과 동일한 액세스 권한을 갖지만, 앞에서 설명한 대로 추가로 제한되는 Guest 계정을 제외하고는 동일한 액세스 권한을 갖습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Hyper-V 관리자(Windows Server 2012) | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 Hyper-V의 모든 기능에 대한 무제한의 모든 액세스 권한을 갖습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| IIS_IUSRS | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
인터넷 정보 서비스에서 사용하는 기본 제공 그룹입니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 들어오는 포리스트 트러스트 빌더(포리스트 루트 도메인에만 있음) | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 이 포리스트에 들어오는 단방향 트러스트를 만들 수 있습니다. (아웃 바운드 포리스트 트러스트 만들기 Enterprise Admins 예약 되어 있습니다.) 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| krbtgt | 사용자 컨테이너 그룹 아님 |
Krbtgt 계정은 도메인의 Kerberos 키 배포 센터에 대한 서비스 계정입니다. 이 계정에 Active Directory에 저장 된 모든 계정 자격 증명에 액세스할 수 있습니다. 이 계정은 기본적으로 비활성화 되 고 활성화 해야 사용자 권한: 해당 없음 |
| Network Configuration Operators | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원에게는 네트워킹 기능의 구성을 관리할 수 있는 권한이 부여됩니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 성능 로그 사용자 | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 성능 카운터의 로깅을 예약하고, 추적 공급자를 사용하도록 설정하고, 로컬 및 컴퓨터에 대한 원격 액세스를 통해 이벤트 추적을 수집할 수 있습니다. 직접 사용자 권한: 일괄 작업으로 로그온. 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 성능 모니터 사용자 | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 성능 카운터 데이터를 로컬 및 원격 액세스할 수 있습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Windows 2000 이전 버전 호환 액세스 | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹은 Windows 2000 Server 이전 운영 체제와의 호환성을 위해 존재하며 구성원이 도메인의 사용자 및 그룹 정보를 읽을 수 있는 기능을 제공합니다. 직접 사용자 권한: 네트워크에서 이 컴퓨터 액세스 트래버스 검사 무시 상속 된 사용자 권한: 도메인에 워크스테이션 추가 프로세스 작업 집합 향상 |
| Print Operators | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 도메인 프린터를 관리할 수 있습니다. 직접 사용자 권한: 로컬 로그온 허용 디바이스 드라이버 로드 및 언로드 시스템 종료 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| RAS 및 IAS Servers | 사용자 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 서버는 도메인의 사용자 계정에 대한 원격 액세스 속성을 읽을 수 있습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| RDS 엔드포인트 서버(Windows Server 2012) | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 서버는 가상 머신을 실행하고 사용자 RemoteApp 프로그램 및 개인 가상 데스크톱이 실행되는 세션을 호스팅합니다. 이 그룹 RD 연결 브로커를 실행 하는 서버에 채울 수 있어야 합니다. RD 세션 호스트 서버 및 RD 가상화 호스트 서버 배포에 사용이 그룹에 포함 되도록 해야 합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| RDS 관리 서버(Windows Server 2012) | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 서버는 원격 데스크톱 서비스를 실행하는 서버에서 일상적인 관리 작업을 수행할 수 있습니다. 이 그룹을 원격 데스크톱 서비스 배포의 모든 서버에서 입력 하도록 해야 합니다. RDS 중앙 관리 서비스를 실행 하는 서버는이 그룹에 포함 되어야 합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| RDS 원격 액세스 서버(Windows Server 2012) | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 서버를 통해 RemoteApp 프로그램 및 개인 가상 데스크톱 사용자가 이러한 리소스에 액세스할 수 있습니다. 인터넷 연결 배포에서는 이러한 서버는 일반적으로 경계 네트워크에 배포 됩니다. 이 그룹 RD 연결 브로커를 실행 하는 서버에 채울 수 있어야 합니다. RD 게이트웨이 서버 및 RD 웹 액세스 서버 배포에 사용이 그룹에 포함 되도록 해야 합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Read-only Domain Controllers | 사용자 컨테이너 글로벌 보안 그룹 |
이 그룹은 도메인 내의 모든 읽기 전용 도메인 컨트롤러를 포함합니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Remote Desktop Users | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 RDP를 사용하여 원격으로 로그온할 수 있는 권한이 주어집니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 원격 관리 사용자(Windows Server 2012) | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 관리 프로토콜(예: Windows 원격 관리 서비스를 통한 WS-Management)을 통해 WMI 리소스에 액세스할 수 있습니다. 이 사용자에 게 액세스 권한을 부여 하는 WMI 네임 스페이스에만 적용 됩니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Replicator | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
도메인에서 레거시 파일 복제 지원. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 스키마 관리자(포리스트 루트 도메인에만 존재) | 사용자 컨테이너 유니버설 보안 그룹 |
스키마 관리자는 Active Directory 스키마를 수정할 수 있는 유일한 사용자이며 스키마가 쓰기 가능한 경우에만 수정됩니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Server Operators | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 도메인 컨트롤러를 관리할 수 있습니다. 직접 사용자 권한: 로컬 로그온 허용 파일 및 디렉터리 백업 시스템 시간 변경 시간대 변경 원격 시스템에서 강제 종료 파일 및 디렉터리 복원 시스템 종료 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| Terminal Server License Servers | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 TS 사용자 단위 CAL 사용을 추적 및 보고하기 위해 라이선스 발급에 대한 정보로 Active Directory의 사용자 계정을 업데이트할 수 있습니다 직접 사용자 권한을 기본: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| 사용자 | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
사용자는 Active Directory에서 많은 개체와 특성을 읽을 수 있는 권한을 갖지만 대부분의 권한을 변경할 수는 없습니다. 사용자는 시스템 차원의 변경을 있으며 대부분의 애플리케이션을 실행할 수 있습니다. 직접 사용자 권한: 프로세스 작업 집합 향상 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 |
| Windows 권한 부여 액세스 그룹 | 기본 제공 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 User 개체에서 계산한 tokenGroupsGlobalAndUniversal 속성에 액세스할 수 있습니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |
| WinRMRemoteWMIUsers_(Windows Server 2012) | 사용자 컨테이너 도메인 로컬 보안 그룹 |
이 그룹의 구성원은 관리 프로토콜(예: Windows 원격 관리 서비스를 통한 WS-Management)을 통해 WMI 리소스에 액세스할 수 있습니다. 이 사용자에 게 액세스 권한을 부여 하는 WMI 네임 스페이스에만 적용 됩니다. 사용자 권한을 직접: 없음 상속 된 사용자 권한: 네트워크에서 이 컴퓨터 액세스 도메인에 워크스테이션 추가 트래버스 검사 무시 프로세스 작업 집합 향상 |