사용자 보안 특성
objectGUID, objectSid, cn, distinguishedName 등과 같은 사용자 개체의 명명 속성 외에도 로그온, 네트워크 액세스 및 액세스 제어에 사용되는 다른 보안 속성이 있습니다. 이러한 속성은 Windows 보안 시스템에서 사용되며 Active Directory 사용자 및 컴퓨터 스냅인에서 보고 관리할 수 있습니다.
accountExpires
accountExpires 특성은 계정이 만료되는 시기를 지정합니다. 이 값은 1601년 1월 1일(UTC) 이후의 100나노초 간격 수를 나타내는 큰 정수로 저장됩니다. TIMEQ_FOREVER 값(Lmaccess.h에 정의됨)은 계정이 만료되지 않음을 나타냅니다.
altSecurityIdentities
altSecurityIdentities 특성은 인증을 위해 이 사용자에 대한 X.509 인증서 또는 외부 Kerberos 사용자 계정에 대한 매핑을 포함하는 다중값 특성입니다. 공개 키 인증 패키지 및 Kerberos를 비롯한 다양한 보안 패키지는 인증서, UNIX Kerberos 티켓 등과 같은 대체 형식의 ID를 제시할 때 이 데이터를 사용하여 사용자를 인증합니다. 시스템 리소스에 액세스할 수 있도록 해당 사용자 계정을 기반으로 Windows 2000 토큰을 빌드합니다.
X.509 인증서의 경우 값은 인증 계정을 찾는 데 사용되는 사용자 계정에 매핑되는 외부 공용 인증 기관에서 발급한 509v3 인증서의 발급자 및 주체 이름이어야 합니다. SSL(Schannel) 패키지는 X509:<somecertinfotype>somecertinfo 구문을 사용합니다. 예를 들어 다음 값은 DN이 "<C=US,O=InternetCA,CN=APublicCertificateAuthority"인 발급자 DN "I>"와 DN "C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith"가 있는 주체 DN "<S>"를 지정합니다.
X509:<I>C=US,O=InternetCA,CN=APublicCertificateAuthority<S>C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith
"S>" 또는 "<<I>" 및 "<S>"가 지원됩니다. "<I>"만 갖는 것은 지원되지 않습니다. 부분 DN 일치가 지원되지 않으므로 애플리케이션은 "<I>" 또는 "<S>" 내의 값을 수정해서는 안 됩니다.
외부 Kerberos 계정의 경우 값은 Kerberos 계정 이름이어야 합니다. Kerberos 패키지는 구문을 Kerberos:MITaccountname사용합니다. 예를 들어 다음 값은 의 Fabrikam.com계정에 대한 값입니다.
Kerberos:Jeff.Smith@Fabrikam.com
badPasswordTime
복제하지 않습니다. badPasswordTime 특성은 사용자가 잘못된 암호를 사용하여 계정에 로그온하려고 시도한 마지막 시간을 지정합니다. 이 값은 1601년 1월 1일(UTC) 이후의 100나노초 간격 수를 나타내는 큰 정수로 저장됩니다. 이 특성은 도메인의 각 도메인 컨트롤러에서 별도로 유지 관리됩니다. 값이 0이면 마지막 잘못된 암호 시간을 알 수 없음을 의미합니다. 도메인에서 사용자의 마지막 잘못된 암호 시간에 대한 정확한 값을 얻으려면 도메인의 각 도메인 컨트롤러를 쿼리하고 가장 큰 값을 사용해야 합니다.
badPwdCount
복제하지 않습니다.
badPwdCount 특성은 사용자가 잘못된 암호를 사용하여 계정에 로그온하려고 시도한 횟수를 지정합니다. 이 특성은 도메인의 각 도메인 컨트롤러에서 별도로 유지 관리됩니다. 값은 0 값을 알 수 없음을 나타냅니다. 도메인에서 사용자의 총 잘못된 암호 시도에 대한 정확한 값을 얻으려면 도메인의 각 도메인 컨트롤러를 쿼리하고 값의 합계를 사용해야 합니다.
codePage
codePage 특성은 사용자가 선택한 언어의 코드 페이지를 지정합니다. 이 값은 Windows에서 사용되지 않습니다.
countryCode
countryCode 특성은 사용자의 언어에 대한 국가/지역 코드를 지정합니다. 이 값은 Windows에서 사용되지 않습니다.
homeDirectory
homeDirectory 특성은 사용자의 홈 디렉터리 경로를 지정합니다. 문자열은 null일 수 있습니다.
homeDrive가 설정되고 드라이브 문자를 지정하는 경우 homeDirectory는 UNC 경로여야 합니다. 경로는 \\server\share\directory 형식의 네트워크 UNC 경로여야 합니다. 이 값은 null 문자열일 수 있습니다.
homeDrive가 설정되지 않은 경우 homeDirectory는 로컬 경로(예: C:\mylocaldir)여야 합니다.
homeDrive
homeDrive 특성은 에서 지정homeDirectory한 UNC 경로를 매핑할 드라이브 문자를 지정합니다. 드라이브 문자는 다음 형식으로 지정해야 합니다.
<drive letter>:
여기서 "<드라이브 문자>"는 매핑할 드라이브의 문자입니다. 예:
Z:
이 특성을 설정하지 않으면 homeDirectory 는 로컬 경로(예: C:\mylocaldir)여야 합니다.
lastLogoff
복제하지 않습니다.
lastLogoff 특성은 마지막 로그오프가 발생한 시기를 지정합니다. 이 값은 1601년 1월 1일(UTC) 이후의 100나노초 간격 수를 나타내는 큰 정수로 저장됩니다. 이 큰 정수의 높은 부분은 FILETIME 구조체의 멤버에 해당 dwHighDateTime 하고 하위 부분은 구조체의 멤버에 dwLowDateTimeFILETIME 해당합니다. 이 특성은 도메인의 각 도메인 컨트롤러에서 별도로 유지 관리됩니다. 값이 0이면 마지막 로그오프 시간을 알 수 없음을 의미합니다. 도메인에서 사용자의 마지막 로그오프에 대한 정확한 값을 얻으려면 도메인의 각 도메인 컨트롤러를 쿼리하고 가장 큰 값을 사용해야 합니다.
lastLogon
복제하지 않습니다.
lastLogon 특성은 마지막 로그온이 발생한 시기를 지정합니다. 이 값은 1601년 1월 1일(UTC) 이후의 100나노초 간격 수를 나타내는 큰 정수로 저장됩니다. 이 큰 정수의 높은 부분은 FILETIME 구조체의 멤버에 해당 dwHighDateTime 하고 하위 부분은 구조체의 멤버에 dwLowDateTimeFILETIME 해당합니다. 이 특성은 도메인의 각 도메인 컨트롤러에서 별도로 유지 관리됩니다. 값이 0이면 마지막 로그온 시간을 알 수 없음을 의미합니다. 도메인에서 사용자의 마지막 로그온에 대한 정확한 값을 얻으려면 도메인의 각 도메인 컨트롤러를 쿼리하고 가장 큰 값을 사용해야 합니다.
lmPwdHistory
lmPwdHistory 특성은 LM(LAN Manager) OWF(단방향 형식)로 사용자의 암호 기록입니다. LM OWF는 LAN Manager 2.x 클라이언트, Windows 95 및 Windows 98과의 호환성을 위해 사용됩니다. 이 특성은 운영 체제에서만 사용됩니다. 암호의 OWF 형식에서 일반 텍스트 암호를 파생할 수 없습니다.
logonCount
복제하지 않습니다.
logonCount 특성은 사용자가 이 계정에 로그온하려고 시도한 성공 횟수를 계산합니다. 이 특성은 도메인의 각 도메인 컨트롤러에서 유지 관리됩니다. 값은 0 값을 알 수 없음을 나타냅니다. 도메인에서 사용자의 총 로그온 시도 횟수에 대한 정확한 값을 얻으려면 도메인의 각 도메인 컨트롤러를 쿼리하고 값의 합계를 사용해야 합니다.
메일 특성은 사용자의 SMTP 주소(예jeff@Fabrikam.com: )를 포함하는 단일 값 특성입니다.
maxStorage
maxStorage 특성은 사용자가 사용할 수 있는 하드 디스크 드라이브 공간의 최대 크기를 지정합니다. 사용 가능한 모든 디스크 공간을 사용하려면 USER_MAXSTORAGE_UNLIMITED (Lmaccess.h에 정의됨) 값을 사용합니다.
memberOf
memberOf 특성은 primaryGroupId로 표시되는 기본 그룹을 제외하고 사용자가 직접 멤버인 그룹을 포함하는 다중값 특성입니다. 그룹 멤버 자격은 이 특성이 검색되는 DC(도메인 컨트롤러)에 따라 달라집니다.
- 사용자를 포함하는 도메인의 DC에서 해당 도메인의 그룹에 대한 멤버 자격과 관련하여 사용자에 대한 memberOf 가 완료됩니다. 그러나
memberOf에는 다른 도메인의 도메인 로컬 및 전역 그룹에 있는 사용자의 멤버 자격이 포함되지 않습니다. - GC 서버에서 사용자에 대한 memberOf 는 모든 범용 그룹 멤버 자격과 관련하여 완료됩니다.
DC에 대해 두 조건이 모두 true이면 두 데이터 집합이 모두 memberOf에 포함됩니다.
이 특성은 멤버 특성에 사용자를 포함하는 그룹을 나열하며 중첩된 선행 작업의 재귀 목록을 포함하지 않습니다. 예를 들어 사용자 O가 그룹 C의 멤버이고 그룹 B와 그룹 B가 그룹 A에 중첩된 경우 사용자 O의 memberOf 특성은 그룹 C 및 그룹 B를 나열하지만 그룹 A는 나열하지 않습니다.
이 특성은 저장되지 않으며 계산된 백 링크 특성입니다.
ntPwdHistory
ntPwdHistory 특성은 Windows NT 단방향 형식(OWF)으로 사용자의 암호 기록입니다. Windows는 Windows NT OWF를 사용합니다. 이 특성은 운영 체제에서만 사용됩니다. 암호의 OWF 형식에서 일반 텍스트 암호를 다시 파생할 수 없습니다.
otherMailbox
otherMailbox 특성은 양식의 다른 추가 메일 주소(예CCMAIL: JeffSmith: )를 포함하는 다중값 특성입니다.
PasswordExpirationDate
암호 만료 날짜는 사용자 개체의 특성이 아닙니다. 사용자에 대한 pwdLastSet 의 합계와 사용자 도메인의 maxPwdAge 를 기반으로 계산된 값입니다. 암호 만료 날짜를 얻으려면 IADsUser.PasswordExpirationDate 속성을 가져옵니다. 사용자에 대해 이 특성을 수정할 수 없습니다. 대신 IADsDomain.MaxPasswordAge 속성을 설정하여 도메인에 대한 설정을 변경합니다.
primaryGroupId
primaryGroupId 특성은 개체의 기본 그룹인 그룹의 primaryGroupToken을 포함하는 단일 값 특성입니다. 개체의 기본 그룹은 memberOf 특성에 포함되지 않습니다. 예를 들어 기본적으로 사용자 개체 primaryGroupToken 의 기본 그룹은 도메인 사용자 그룹의 이지만 도메인 사용자 그룹은 사용자 개체의 memberOf 특성에 속하지 않습니다.
profilePath
profilePath 특성은 사용자 프로필의 경로를 지정합니다. 이 값은 null 문자열, 로컬 절대 경로 또는 UNC 경로일 수 있습니다.
pwdLastSet
pwdLastSet 특성은 암호가 마지막으로 변경된 시기를 지정합니다. 이 값은 1601년 1월 1일(UTC) 이후의 100나노초 간격 수를 나타내는 큰 정수로 저장됩니다.
시스템은 이 특성의 값과 사용자 개체가 포함된 도메인의 maxPwdAge 특성을 사용하여 암호 만료 날짜를 계산합니다. 즉, 사용자 및 maxPwdAge 사용자 도메인에 대한 pwdLastSet의 합계입니다.
이 특성은 사용자가 다음에 로그온할 때 암호를 변경해야 하는지 여부를 제어합니다.
pwdLastSet이 기본값인 0이면 사용자는 다음 로그온 시 암호를 변경해야 합니다. 값 -1 은 사용자가 다음 로그온 시 암호를 변경할 필요가 없음을 나타냅니다. 시스템은 사용자가 암호를 설정한 후 이 값을 -1 로 설정합니다.
sAMAccountType
sAMAccountType 특성은 계정 유형을 나타내는 정수를 지정합니다. 개체를 만들 때 운영 체제에 의해 설정됩니다.
scriptPath
scriptPath 특성은 사용자의 로그온 스크립트인 .cmd, .exe 또는 .bat 파일의 경로를 지정합니다. 문자열은 null일 수 있습니다.
tokenGroups
tokenGroups 특성은 사용자가 기본 그룹을 포함하여 직접 및 간접 멤버인 모든 그룹의 SID를 포함하는 다중값 특성입니다. 이 특성은 GC(글로벌 카탈로그) 서버가 있는 경우에만 검색하여 전이적 역방향 멤버 자격을 검색할 수 있습니다.
이 특성에는 멤버 특성에 사용자가 포함된 그룹과 해당 멤버 특성에 해당 그룹이 포함된 그룹이 재귀적으로 나열됩니다. 예를 들어 사용자 O가 그룹 C의 멤버이고 그룹 B와 그룹 B가 그룹 A에 중첩된 경우 사용자 O의 tokenGroups 특성은 그룹 C, 그룹 B 및 그룹 A를 나열합니다.
tokenGroups 특성은 두 개의 LDAP 쿼리에서 그룹 멤버 자격 목록을 가져오는 데 유용한 특성입니다. 첫 번째는 사용자의 tokenGroups 특성에서 그룹 SID 목록을 가져오고, 두 번째는 해당 SID 목록을 사용하여 각 그룹의 이름 특성을 가져옵니다. primaryGroupId 특성을 확장하고 memberOf 특성을 재귀적으로 확장하기 위해 여러 검색을 할 필요가 없습니다.
unicodePwd
unicodePwd 특성은 사용자 암호입니다.
사용자 암호를 설정하려면 스크립트 또는 애플리케이션에서 사용자가 자신의 암호를 변경할 수 있는 경우 IADsUser.ChangePassword 메서드를 사용하거나, 스크립트 또는 애플리케이션에서 관리자가 암호를 재설정하도록 허용하는 경우 IADsUser.SetPassword 메서드를 사용합니다.
Windows NT 단방향 형식(OWF)으로 된 사용자의 암호입니다. Windows는 Windows NT OWF를 사용합니다. 이 특성은 운영 체제에서만 사용됩니다. 암호의 OWF 형식에서 일반 텍스트 암호를 다시 파생할 수 없습니다.
userAccountControl
userAccountControl 특성은 사용자의 암호, 잠금, 사용 안 함/사용, 스크립트 및 홈 디렉터리 동작을 제어하는 플래그를 지정합니다. 이 특성에는 개체의 계정 유형을 나타내는 플래그도 포함되어 있습니다. 사용자 개체에는 일반적으로 UF_NORMAL_ACCOUNT 집합이 있습니다.
다음 플래그는 Lmaccess.h에 정의되어 있습니다.
| 플래그 | 설명 |
|---|---|
| UF_SCRIPT | 로그온 스크립트가 실행되었습니다. 이 값은 LAN Manager 2.0 또는 Windows NT 대해 설정해야 합니다. |
| UF_ACCOUNTDISABLE | 사용자 계정을 사용할 수 없습니다. |
| UF_HOMEDIR_REQUIRED | 홈 디렉터리가 필요합니다. 이 값은 Windows NT Windows 2000에서 무시됩니다. |
| UF_PASSWD_NOTREQD | 암호는 필요하지 않습니다. |
| UF_PASSWD_CANT_CHANGE | 사용자가 암호를 변경할 수 없습니다. |
| UF_LOCKOUT | 계정이 현재 잠겨 있습니다. 이전에 잠긴 계정의 잠금을 해제하려면 이 값을 지울 수 있습니다. 이 값은 이전에 잠긴 계정을 잠그는 데 사용할 수 없습니다. |
| UF_DONT_EXPIRE_PASSWD | 계정에서 만료되지 않아야 하는 암호를 나타냅니다. |
다음 플래그는 계정 유형을 설명합니다. 하나의 값만 설정할 수 있습니다. 계정 유형을 변경할 수 없습니다.
| 플래그 | 설명 |
|---|---|
| UF_NORMAL_ACCOUNT | 일반적인 사용자를 나타내는 기본 계정 유형입니다. |
| UF_TEMP_DUPLICATE_ACCOUNT | 기본 계정이 다른 도메인에 있는 사용자의 계정입니다. 이 계정은 이 도메인에 대한 사용자 액세스를 제공하지만 이 도메인을 신뢰하는 도메인에는 액세스할 수 없습니다. 사용자 관리자는 이 계정 유형을 로컬 사용자 계정으로 참조합니다. |
| UF_WORKSTATION_TRUST_ACCOUNT | 이 도메인의 구성원인 Windows NT Workstation/Windows 2000 Professional 또는 Windows NT Server/Windows 2000 Server의 컴퓨터 계정입니다. |
| UF_SERVER_TRUST_ACCOUNT | 이 도메인의 구성원인 Windows NT Backup 도메인 컨트롤러에 대한 컴퓨터 계정입니다. |
| UF_INTERDOMAIN_TRUST_ACCOUNT | 이는 다른 도메인을 신뢰하는 Windows NT 도메인에 대한 계정을 신뢰할 수 있는 허가입니다. |
userCertificate
userCertificate 특성은 사용자에게 발급된 DER 인코딩 X509v3 인증서를 포함하는 다중값 특성입니다. 이 특성에는 Microsoft Certificate Service에서 이 사용자에게 발급한 공개 키 인증서가 포함되어 있습니다.
userSharedFolder
userSharedFolder 특성은 사용자의 공유 문서 폴더에 대한 UNC 경로를 지정합니다. 경로는 \\server\share\directory 형식의 네트워크 UNC 경로여야 합니다. 이 값은 null 문자열일 수 있습니다.
userWorkstations
userWorkstations 특성은 사용자가 로그온할 수 있는 워크스테이션의 NetBIOS 이름을 포함하는 단일 값 특성입니다. 각 NetBIOS 이름은 쉼표로 구분됩니다.
값이 설정되지 않은 경우 제한이 없음을 나타냅니다. 모든 워크스테이션에서 이 계정에 대한 로그온을 사용하지 않도록 설정하려면 userAccountControl 특성에서 UF_ACCOUNTDISABLE 값(Lmaccess.h에 정의됨)을 설정합니다.