Active Directory 도메인 컨트롤러의 네트워크 관리 기능에 대한 요구 사항

  • 아티클

Active Directory를 실행하는 도메인 컨트롤러에서 이 항목에 나열된 네트워크 관리 함수 중 하나를 호출하는 경우 개체의 ACL(액세스 제어 목록)에 따라 보안 개체에 대한 액세스가 허용되거나 거부됩니다. (ACL은 디렉터리에 지정됩니다.)

정보 쿼리 및 정보 업데이트에는 다양한 액세스 요구 사항이 적용됩니다.

쿼리

쿼리의 경우 기본 ACL은 "Pre-Windows 2000 호환 액세스" 그룹의 모든 인증된 사용자와 멤버가 정보를 읽고 열거할 수 있도록 허용합니다. 다음에 나열된 함수는 영향을 받습니다.

그룹 정보에 익명으로 액세스하려면 "Windows 2000 이전 호환 액세스" 그룹에 익명 사용자를 명시적으로 추가해야 합니다. 익명 토큰에는 모든 사용자 그룹 SID가 포함되지 않기 때문입니다.

Windows 2000: 기본적으로 "사전 Windows 2000 호환 액세스" 그룹에는 모든 사용자가 구성원으로 포함됩니다. 이렇게 하면 시스템에서 익명 액세스를 허용하는 경우 익명 액세스(익명 로그온)가 정보에 액세스할 수 있습니다. 관리자는 언제든지 "사전 Windows 2000 호환 액세스" 그룹에서 모든 사용자를 제거할 수 있습니다. 그룹에서 모든 사람을 제거하면 정보 액세스가 인증된 사용자로만 제한됩니다. 익명 액세스에 대한 자세한 내용은 보안 식별자잘 알려진 SID를 참조하세요.

레지스트리에서 다음 키를 값 1로 설정하여 시스템 기본값을 재정의할 수 있습니다.

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1

이러한 두 함수를 호출할 때 그룹 정보에 대한 익명 액세스에 대한 자세한 내용은 NetWkstaGetInfoNetWkstaUserEnum 을 참조하세요.

업데이트

업데이트의 경우 기본 ACL은 도메인 관리자 및 계정 운영자만 정보를 쓸 수 있도록 허용합니다. 한 가지 예외는 사용자가 자신의 암호를 변경하고 usri*_usr_comment 필드를 설정할 수 있다는 것입니다. 또 다른 예외는 계정 운영자가 관리 계정을 수정할 수 없다는 것입니다. 다음에 나열된 함수는 영향을 받습니다.

일반적으로 호출자는 NetUserModalsSet, NetUserSetInfo, NetGroupSetInfoNetLocalGroupSetInfo에 대한 호출이 성공하려면 전체 개체에 대한 쓰기 권한이 있어야 합니다. 더 세부적인 액세스 제어를 위해 ADSI를 사용하는 것이 좋습니다. ADSI에 대한 자세한 내용은 Active Directory 서비스 인터페이스를 참조하세요.

보안 개체에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 Access Control, 권한보안 개체를 참조하세요. 관리자 권한이 필요한 함수를 호출하는 방법에 대한 자세한 내용은 특별 권한으로 실행을 참조하세요.