코드 그룹 특성을 사용한 관리
업데이트: 2007년 11월
여러 워크스테이션의 보안 정책을 관리해야 하는 엔터프라이즈 관리자라고 가정해봅시다. 일반적인 엔터프라이즈 도메인에서는 네트워크 관리자가 모든 서버와 모든 클라이언트에 대해 관리자 권한을 가집니다. 그러나 단일 워크스테이션에서는 일반적으로 개별 사용자가 관리자 권한을 가집니다. 따라서 엔터프라이즈 정책 수준에서는 네트워크 관리자가 관리자 권한을 갖고, 컴퓨터 정책 수준에서는 워크스테이션 관리자가 관리자 권한을 가집니다. 이러한 경우, 엔터프라이즈 정책을 제일 먼저 평가하고 엔터프라이즈 수준 관리자가 내린 보안 결정을 컴퓨터 정책이 약화시킬 수 없기 때문에, 네트워크 관리자의 정책 제어권이 더 큽니다. 그러나 컴퓨터 수준 관리자는 보안을 강화할 수는 있으므로 이전에는 실행이 가능했던 신뢰할 수 있는 응용 프로그램을 중단할 수 있습니다. 이와 같은 이유로 상위 정책 수준은 하위 수준 정책의 결정을 평가하지 않도록 배제할 수 있습니다.
보안 정책 도구 중 하나를 사용하여 LevelFinal 또는 Exclusive 특성을 코드 그룹에 적용하면 됩니다.
Level Final 특성
LevelFinal 특성이 코드 그룹에 적용되면 현재 수준 아래의 정책 수준을 평가하지 않고 배제합니다. 예를 들어, 엔터프라이즈 수준에서 로컬 인트라넷 코드 그룹에 LevelFinal 특성을 적용하면 컴퓨터 수준 관리자가 변경한 경우라도 컴퓨터 수준의 코드 그룹은 평가하지 않습니다. LevelFinal 특성을 적용하면, 이 특성이 설정된 코드 그룹과 연결된 어셈블리는 하위 정책 수준 관리자의 결정에 의해 권한이 줄어드는 일이 없습니다. 기본 또는 사용자 지정 코드 그룹에 LevelFinal 특성을 설정하는 데 대한 자세한 내용은 .NET Framework 구성 도구(Mscorcfg.msc) 또는 코드 액세스 보안 정책 도구(Caspol.exe)를 참조하십시오.
Exclusive 특성
Exclusive 특성이 코드 그룹에 적용되면 공용 언어 런타임은 단독 코드 그룹에 포함된 어셈블리의 권한을 산정할 때 같은 정책 수준의 다른 코드 그룹을 고려하지 않습니다. 그러나 현재 수준보다 높거나 낮은 정책 수준은 계속 평가합니다. 이 특성을 적용하면 하나의 특정 코드 그룹이 이 그룹과 일치하는 어셈블리에 부여하는 권한을 현재 정책 수준에서 독자적으로 결정할 수 있습니다. 이 특성은 같은 정책 수준에서 일치하는 다른 코드 그룹의 권한은 허용하지 않으면서 특정 어셈블리에 특정 권한 집합을 부여하려는 경우 유용합니다.
어셈블리가 단독으로 설정된 둘 이상의 코드 그룹에 속하는 경우에는 실행될 수 없습니다. 따라서 사용자 지정 보안 정책을 관리할 경우에만 제한적으로 Exclusive 특성을 사용합니다. 기본 제공 또는 사용자 지정 그룹에 Exclusive 특성을 설정하는 데 대한 자세한 내용은 .NET Framework 구성 도구(Mscorcfg.msc) 또는 코드 액세스 보안 정책 도구(Caspol.exe)를 참조하십시오.