다음을 통해 공유

Active Directory 도메인 컨트롤러의 네트워크 관리 함수에 대한 요구 사항

  • 아티클

Active Directory를 실행하는 도메인 컨트롤러에서 이 항목에 나열된 네트워크 관리 함수 중 하나를 호출하는 경우 개체에 대한 ACL(액세스 제어 목록)에 따라 보안 개체 대한 액세스가 허용되거나 거부됩니다. (ACL은 디렉터리에 지정됩니다.)

정보 쿼리 및 정보 업데이트에는 다양한 액세스 요구 사항이 적용됩니다.

쿼리

쿼리의 경우 기본 ACL은 모든 인증된 사용자와 "Windows 2000 이전 호환 액세스" 그룹의 구성원이 정보를 읽고 열거할 수 있도록 허용합니다. 다음에 나열된 함수는 영향을 받습니다.

그룹 정보에 익명으로 액세스하려면 사용자 익명을 "Pre-Windows 2000 호환 액세스" 그룹에 명시적으로 추가해야 합니다. 익명 토큰에 Everyone 그룹 SID가 포함되지 않기 때문입니다.

Windows 2000: 기본적으로 "Windows 2000 이전 호환 액세스" 그룹에는 모든 사용자가 구성원으로 포함됩니다. 시스템에서 익명 액세스를 허용하는 경우, 이는 익명 액세스(익명 로그온)를 통해 정보에 접근할 수 있도록 합니다. 관리자는 언제든지 "사전 Windows 2000 호환 액세스" 그룹에서 모든 사용자를 제거할 수 있습니다. 그룹에서 모든 사용자를 제거하면 인증된 사용자로만 정보 액세스가 제한됩니다. 익명 액세스에 대한 자세한 내용은 보안 식별자Well-Known SID참조하세요.

레지스트리에서 다음 키를 값 1로 설정하여 시스템 기본값을 재정의할 수 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\모두포함익명 = 1

이러한 두 함수를 호출할 때 그룹 정보에 대한 익명 액세스에 대한 자세한 내용은 NetWkstaGetInfoNetWkstaUserEnum 참조하세요.

업데이트

업데이트의 경우 기본 ACL은 도메인 관리자 및 계정 운영자만 정보를 쓸 수 있도록 허용합니다. 한 가지 예외는 사용자가 자신의 암호를 변경하고 usri*_usr_comment 필드를 설정할 수 있다는 것입니다. 또 다른 예외는 계정 운영자가 관리 계정을 수정할 수 없다는 것입니다. 다음에 나열된 함수는 영향을 받습니다.

일반적으로 호출자가 NetUserModalsSet , NetUserSetInfo , NetGroupSetInfo 및 NetLocalGroupSetInfo 을 호출하려면 전체 개체에 대한 쓰기 권한이 있어야 합니다. 더 세부적인 액세스 제어를 위해 ADSI를 사용하는 것이 좋습니다. ADSI에 대한 자세한 내용은 Active Directory 서비스 인터페이스참조하세요.

보안 개체에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 Access Control, Privileges보안 개체참조하세요. 관리자 권한이 필요한 함수를 호출하는 방법에 대한 자세한 내용은 특수 권한으로 실행참조하세요.