다음을 통해 공유

액세스 권한 제어(AD DS)

  • 아티클

Active Directory Domain Services의 모든 개체는 ADS_RIGHTS_ENUM 열거형에 정의된 표준 액세스 권한 집합을 지원합니다. 이러한 액세스 권한은 개체 보안 설명자의 ACE(Access Control Entries)에서 개체에 대한 액세스를 제어하는 데 사용할 수 있습니다. 즉, 자식 개체 만들기 및 삭제 또는 개체 특성 읽기 및 쓰기와 같은 표준 작업을 수행할 수 있는 사용자를 제어합니다. 그러나 일부 개체 클래스의 경우 표준 액세스 권한에서 지원되지 않는 방식으로 액세스를 제어하는 것이 좋습니다. 이를 용이하게 하기 위해 Active Directory Domain Services를 사용하면 controlAccessRight 개체를 통해 표준 액세스 제어 메커니즘을 확장할 수 있습니다.

제어 액세스 권한은 다음 세 가지 방법으로 사용됩니다.

  • 표준 액세스 권한 집합에서 다루지 않는 특수 작업인 확장 권한의 경우 예를 들어 사용자 클래스에 Exchange, Outlook 또는 다른 메일 응용 프로그램에서 사용할 수 있는 "다른 이름으로 보내기" 권한이 부여되어 특정 사용자가 다른 사용자가 대신 메일을 보낼 수 있는지 여부를 확인할 수 있습니다. 확장된 권한은 validAccesses 특성을 ADS_RIGHT_DS_CONTROL_ACCESS(256) 액세스 권한과 동일하게 설정하여 controlAccessRight 개체에 생성됩니다.

  • 속성 집합을 정의하는 경우 개별 특성이 아닌 개체 특성의 하위 집합에 대한 액세스를 제어할 수 있도록 합니다. 표준 액세스 권한을 사용하여 단일 ACE는 개체의 모든 특성 또는 단일 특성에 대한 액세스 권한을 부여하거나 거부할 수 있습니다. 액세스 권한 제어는 단일 ACE가 특성 집합에 대한 액세스를 제어하는 방법을 제공합니다. 예를 들어 사용자 클래스는 주소 및 전화 번호와 같은 특성을 포함하는 개인 정보 속성 집합을 지원합니다. 속성 집합 권한은 validAccesses 특성을 ACTR_DS_READ_PROP(16)와 ACTRL_DS_WRITE_PROP(32) 액세스 권한을 모두 포함하도록 설정하여 controlAccessRight 개체에 생성됩니다.

  • 유효성이 검사된 쓰기의 경우 DS 개체의 특성에 값을 쓰기 전에 시스템에서 스키마에 필요한 값 검사 또는 유효성 검사를 수행하도록 요구합니다. 이렇게 하면 특성에 입력된 값이 필요한 의미 체계를 준수하거나, 값의 법적 범위 내에 있거나, 특성에 대한 간단한 하위 수준 쓰기에 대해 수행되지 않는 몇 가지 다른 특별 검사를 받습니다. 유효성이 검사된 쓰기는 값 검사가 수행되지 않고 특성에 모든 값을 쓸 수 있도록 허용하는 "쓰기 <특성>" 권한과 구별되는 특수 권한에 연결됩니다. 유효성이 검사된 쓰기는 애플리케이션에 대한 새 제어 액세스 권한으로 만들 수 없는 세 가지 제어 액세스 권한 중 하나뿐입니다. 이는 기존 시스템을 프로그래밍 방식으로 수정하여 유효성 검사를 적용할 수 없기 때문입니다. 시스템에서 컨트롤 액세스 권한이 유효성이 검사된 쓰기로 설정된 경우 controlAccessRight 개체의 validAccesses 특성에 ADS_RIGHT_DS_SELF(8) 액세스 권한이 포함됩니다.

    Windows 2000 Active Directory 스키마에 정의된 유효성이 검사된 쓰기는 세 개뿐입니다.

    • 그룹 개체에 대한 권한을 Self-Membership 호출자의 계정을 허용하지만 다른 계정은 그룹 멤버 자격에서 추가하거나 제거할 수 없습니다.
    • 컴퓨터 이름 및 도메인 이름을 준수하는 DNS 호스트 이름 특성을 설정할 수 있도록 하는 컴퓨터 개체에 대한 validated-DNSHost-Name 권한입니다.
    • 컴퓨터의 DNS 호스트 이름을 준수하는 SPN 특성을 설정할 수 있도록 하는 컴퓨터 개체에 대한 Validated-SPN 권한입니다.

편의상 각 컨트롤 액세스 권한은 속성 집합 및 유효성이 검사된 쓰기가 확장된 권한으로 간주되지 않더라도 Configuration 파티션의 Extended-Rights 컨테이너에 있는 controlAccessRight 개체로 표시됩니다. 구성 컨테이너는 전체 포리스트에 복제되므로 제어 권한은 포리스트의 모든 도메인에 전파됩니다. 미리 정의된 여러 제어 액세스 권한이 있으며 사용자 지정 액세스 권한도 정의할 수 있습니다.

모든 제어 액세스 권한은 ACL 편집기에서 권한으로 볼 수 있습니다.

자세한 내용 및 속성 집합에 대한 읽기/쓰기 액세스를 제어하도록 ACE를 설정하는 C++ 및 Visual Basic 코드 예제는 Directory 개체ACE를 설정하는 예제 코드를 참조하세요.

제어 액세스 권한을 사용하여 특수 작업에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 다음을 참조하세요.