윈도우 서버 2012-8. 자원 액세스 관리-공유폴더/NTFS

WINDOWS는 자원에 대한 접근 권한을 부여 하는 여러가지 방법이 있다. 자원에 대한 접근 권한이란 말 그대로 특정 폴더/파일에 접근을 금지하거나 혹은 수정/삭제 금지 등등과 같은 개념을 뜻한다. 

(좀 어렵게 설명하자면 앞서 컴퓨터, 사용자, 그룹 중 인증에 사용되거나 자원에 대한 접근을 부여 할 수있는 것들을 보안 주체라 한다. 각각의 보안 주체는 WINDOWS 내부에서 SID라는 값으로 구분하고 있으며 이 보안 주체들에게 접근을 허가 거부하기 위해 사용되는 일련의 규칙을 접근 권한이라 한다. 그럼 무엇을 보고 이러한 접근을 허가하거나 거부하는 것일까? ACL이라는 것을 기준으로 허가/거부 한다. ACL은 크게 두 가지로 나눌 수 있음. 보안 주체의 리소스 접근 제어 규칙이 있는 DACL과 리소스와 연결된 감사메시지를 제어하는 SACL이 있다.)  어쩌구 저쩌구 대충 이렇게 이루어져있다고 한다.

지금부터는 WINDOWS가 접근 권한을 부여하는 방법에 대해 알아보겠다 크게 두 가지가 있다.

1. 공유 폴더

2. NTFS

우선 공유폴더부터 알아보도록 하자. 공유 폴더는 말 그대로 자원을 공유하기 위해 네트워크 상에서 접근을 허용해놓은 폴더를 뜻한다. 자신의 컴퓨에 있는 공유 폴더를 확인하려면 간단하게 실행-fsmgmt.msc로 들어가면 확인이 가능하다.

공유폴더 보기

1. 실행-fsmgmt.msc 입력

2. 공유tab에 가면 현재 사용하는 공유폴더 항목을 볼 수 있다.

공유 폴더를 전혀 생성하지 않아도 C$, ADMIN$, IPC$ 등등의 폴더들을 볼 수 있을 것이다. 해당 폴더들은 그냥 WINDOWS 자체에서 관리 목적으로 생성한 공유폴더라고 생각하면 된다.(왜 공유폴더를 생성했을까? 잘 모르겠다.) 참고로 뒤에 붙은 $기호는 숨김 공유 폴더라는 뜻이다.

C$ -> C 드라이브 관리 공유 폴더

ADMIN$ -> 윈도우 설치 관련 공유폴더

IPC $-> 서버 간의 이벤트 로그와 같은 특정 통신에 관한 공유 폴더 등등 각각 폴더에 대한 역할이 있다.

공유 폴더를 생성하는 방법 또한 간단하다.

공유폴더 생성

1. 탐색기에 들어가 빈 곳을 우클릭-새로만들기-폴더 로 새로운 폴더를 만든다.

2. 새로운 만든 폴더를 우클릭-속성에 들어가자

3. 공유 탭에서 공유버튼을 클릭한다.

4. 특정 그룹을 선택 후 추가 마지막에 공유 버튼을 누른다.

5. fsmgmt.msc로 들어가 확인해보자

공유폴더는 각 그룹에 대해 여러가지 권한을 설정 할 수 있다.

공유 폴더 권한

1. 다시 공유폴더 우클릭-속성에 들어가자

2. 고급 설정에 들어간 후

3. 권한 버튼을 클릭

4. 각 그룹에 대한 공유폴더 권한을 지정 할 수 있다.

* 각각 권한의 의미

Read -> 폴더 내 특정 파일을 조회하거나 실행

change-> 폴더 내 특정 파일을 변경/삭제/추가

 Full control -> Read+Change 권한에다가 해당 파일의 보안 설정

다른 컴퓨터에서 공유 폴더에 접근하는 법은 크게 두가지 이다. 하나는 AD에 공유폴더를 게시하는 방법이고 하나는 게시하지 않는 방법이다.

1. AD에 게시하지 않았을 때는 간단하다.  \\공유폴더 컴퓨터 IP\공유폴더명  으로 입력하면 접속이 가능하다.

2. AD에 게시하는 법은 비교적 복잡하다.

우선 fsmgmt.msc에 들어가 공유 폴더 탭에서 특정 공유 폴더를 우클릭-속성을 누른다.

3. 게시탭에 가서  Active Direcory에 게시를 체크-적용-확인 버튼을 누른다.

4. 해당 도메인의 계정으로 로그인한다.

5. 도메인 명 우클릭-찾기를 누른다.(원격 관리도구가 당연히 설치 되어 있어야 한다.)

6. 찾는 종류를 공유폴더로 바꾸고 공유폴더에 해당하는 문자열을 입력하면 공유폴더를 찾을 수 있다.

두번째 접근 권한 부여 방법은 NTFS이다. NTFS는 windows에서 제공하는 파일 시스템(대충 파일을 관리하는 방법이라 생각하면 된다.) 중 하나이다. 이 NTFS는 강력한 보안 기능을 제공한다. 크게 기본 권한과 특수권한이 있다. 

기본권한

1. 기본권한은 특정 폴더를 우클릭-속성에 들어가

2. 보안 탭에서 확인 할 수 있다. 기본권한의 종류로는 각각

 모든 권한, 수정, 읽기 및 실행, 폴더 내용 보기(폴더만 존재), 읽기, 쓰기

모든 권한은 말 그대로 파일 내 전체적으로 모든 권한을 가지는 것을 뜻한다.

읽기와 실행은 말 그대로 읽고 실행 할 수 있는 권한을 뜻한다.

폴더 내용 보기도 있는 그대로 폴더 내용을 조회 할 수 있는 권한을 뜻한다.

쓰기는 폴더 내 하위 폴더나 파일을 추가하거나 파일 속성을 볼 수있는 권한이다. 또한 파일 데이터의 수정 또한 가능하다.

수정은 모든 폴더/파일에 대해 권한/소유권 변경과 관련된 내용 외에 모든 권한을 가지는 것을 뜻한다.

특수권한은 폴더나 파일에 관해 더 세부적인 권한 설정이 가능하다.

특수권한

1. 고급 설정에 들어간다.

2. 특정 개체를 선택 후 편집을 누른다.

3. 고급 권한 표시를 누른다.

4. 여러가지 권한들을 볼 수 있다.

특수 권한에는 매우 세부적으로 여러가지 권한이 존재한다. 그 중 어려운 것만 살펴보자면,

폴더 트래버스/ 파일 실행-> 해당 권한은 폴더에 접근 권한이 없어도 해당 폴더에 있는 파일을 실행 할 수 있는 권한

 특성 읽기 or 특성 쓰기 -> 숨김파일이나 읽기전용 파일 등의 파일의 특성을 변경하거나 볼 수 있도록 하는 권한

확장 특성 읽기 or 확장 특성 쓰기 -> 프로그램에 의해 정의 되는 특성을 읽거나 변경할 수 있도록 하는 권한

일반적인 특성은 NTFS에서 정의 되지만 확장 특성은 프로그램에 의해 정의 된다는 차이점이 있다.

그 외에도 동기화나 소유권 가져오기 등의 권한이 있다. 니머지 권한은 직관적으로 해석이 가능하므로 생략하겠다.

 NTFS 권한의 가장 큰 특성은 상속이 된다는 것이다. 즉 상위 폴더의 contents들이 상위 폴더의 권한을 그대로 받아온다는 것이다. 특정 파일을 복사하거나 이동 할 때는 파티션별로 상속여부를 판단한다. 파티션이란 디스크를 물리적으로 나누는 것이라고 생각하면 된다.(여기서는 대충 C드라이브나 D드라이브 정도로 생각해두자) 만약 같은 파티션에 있는 폴더로 이동, 복사 시 현재 이동하는 폴더의 권한을 그대로 유지하지만 다른 파티션에 있는 폴더로 이동 시 목적에 폴더의 권한을 상속받게 된다.

권한 상속

1. 상속을 확인하기위해 다음과 같이 parent 폴더 안에 child 폴더를 만든다.

2. 임의로 권한을 주기위해 개체를 추가해야한다. 개체 추가를 위해 편집-추가버튼을 순서대로 누른다.

3. 원하는 개체의 이름을 집어넣는다. 여기서는 저번에 만들었던 cnet1을 사용하갰다.

4. cnet1 계정에게 모든권한을 준다.

5. 이제 자식 폴더로 돌아와서 편집을 누른다.

6. 해당 권한이 그대로 상속되어 있으며 바꾸려고해도 강제로 비활성화되는 것을 확인 할 수 있다.

7. 상속을 없애는 방법은 간단하다.  해당폴더에서 고급설정에 들어가서

8. 상속 비활성화 버튼을 클릭하면 된다.

9. 둘 중 무엇을 선택해도 상관 없으나(둘 다 상속은 사라진다.), 확인을 위해 위의 항목을 선택해주자.

10. 다음과 같이 상속이 사라져 원하는 대로 권한을 부여 할 수 있는 것을 알 수 있다.