Geek School : Windows 7 학습 – 리소스 액세스

캐치되지 않은 콘텐츠

이번 Geek School 설치에서는 폴더 가상화, SID 및 권한과 파일 시스템 암호화에 대해 살펴 봅니다.

Windows 7에 대한이 Geek School 시리즈의 이전 기사를 확인하십시오.

How-To Geek School 소개
업그레이드 및 마이그레이션
장치 구성
디스크 관리
응용 프로그램 관리
Internet Explorer 관리
IP 주소 지정 기본 사항
네트워킹
무선 네트워킹
윈도우 방화벽
원격 관리
원격 액세스
모니터링, 성능 및 Windows를 최신 상태로 유지

이번 주 나머지 시리즈도 계속 지켜봐주세요.

폴더 가상화

Windows 7에서는 컴퓨터의 다른 위치에있는 리소스를 볼 수있는 중앙 위치를 가질 수있는 라이브러리 개념을 도입했습니다. 보다 구체적으로, 라이브러리 기능을 사용하면 컴퓨터의 모든 위치에서 Windows 탐색기의 탐색 창에서 쉽게 액세스 할 수있는 4 개의 기본 라이브러리 인 문서, 음악, 비디오 및 그림 중 하나에 폴더를 추가 할 수 있습니다.

라이브러리 기능에 대해주의해야 할 두 가지 중요한 사항이 있습니다.

라이브러리에 폴더를 추가하면 폴더 자체는 이동하지 않고 폴더 위치에 대한 링크가 만들어집니다.
라이브러리에 네트워크 공유를 추가하려면 오프라인에서 사용할 수 있어야하지만 심볼릭 링크를 사용하여 해결 방법을 사용할 수도 있습니다.

라이브러리에 폴더를 추가하려면 라이브러리로 이동하여 위치 링크를 클릭하십시오.

그런 다음 추가 버튼을 클릭합니다.

이제 라이브러리에 포함 할 폴더를 찾고 폴더 포함 버튼을 클릭합니다.

그게 전부입니다.

보안 식별자

Windows 운영 체제는 SID를 사용하여 모든 보안 원칙을 나타냅니다. SID는 기계, 사용자 및 그룹을 나타내는 영숫자의 가변 길이 문자열입니다. SID는 파일 또는 폴더에 대한 사용자 또는 그룹 권한을 부여 할 때마다 ACL (액세스 제어 목록)에 추가됩니다. 이면에서 SID는 다른 모든 데이터 개체와 동일한 방식으로 저장됩니다. 그러나 Windows에서 SID가 표시되면 더 읽기 쉬운 구문을 사용하여 표시됩니다. Windows에서 어떤 형태의 SID도 볼 수있는 경우는 드뭅니다. 가장 일반적인 시나리오는 누군가에게 리소스에 대한 권한을 부여한 다음 해당 사용자 계정을 삭제하는 것입니다. 그러면 SID가 ACL에 표시됩니다. 따라서 Windows에서 SID를 볼 수있는 일반적인 형식을 살펴 보겠습니다.

표시되는 표기법은 특정 구문을 사용합니다. 다음은 SID의 다른 부분입니다.

‘S’접두사
구조 개정 번호
48 비트 식별자 권한 값
32 비트 하위 권한 또는 RID (상대 식별자) 값의 가변 개수

아래 이미지에서 내 SID를 사용하여 더 나은 이해를 위해 여러 섹션을 나눌 것입니다.

SID 구조 :

'에스' – SID의 첫 번째 구성 요소는 항상 'S'입니다. 이것은 모든 SID의 접두사이며 Windows에 SID라는 것을 알리기 위해 있습니다.
’1′ – SID의 두 번째 구성 요소는 SID 사양의 개정 번호입니다. SID 사양이 변경되면 이전 버전과의 호환성을 제공합니다. Windows 7 및 Server 2008 R2부터 SID 사양은 여전히 첫 번째 버전입니다.
’5′ – SID의 세 번째 섹션을 식별자 기관이라고합니다. 이것은 SID가 생성 된 범위를 정의합니다. 이 SID 섹션에 가능한 값은 다음과 같습니다.

0 – Null 권한

1 – 세계 권위

2 – 지역 당국

3 – 제작자 권한

4 – 고유하지 않은 권한

5 – NT 권한

’21′ – 네 번째 구성 요소는 하위 권한 1입니다. 값 '21'은 다음 하위 권한이 로컬 시스템 또는 도메인을 식별 함을 지정하기 위해 네 번째 필드에 사용됩니다.
’1206375286-251249764-2214032401′ –이를 각각 하위 권한 2, 3 및 4라고합니다. 이 예에서는 로컬 컴퓨터를 식별하는 데 사용되지만 도메인의 식별자가 될 수도 있습니다.
’1000′ – Sub-authority 5는 SID의 마지막 구성 요소이며 RID (Relative Identifier)라고합니다. RID는 각 보안 원칙과 관련이 있습니다. Microsoft에서 제공하지 않는 모든 사용자 정의 개체의 RID는 1000 이상입니다.

보안 원칙

보안 원칙은 SID가 첨부 된 모든 것입니다. 이들은 사용자, 컴퓨터 및 그룹 일 수 있습니다. 보안 원칙은 로컬이거나 도메인 컨텍스트에있을 수 있습니다. 컴퓨터 관리에서 로컬 사용자 및 그룹 스냅인을 통해 로컬 보안 원칙을 관리합니다. 거기에 가려면 시작 메뉴에서 컴퓨터 바로 가기를 마우스 오른쪽 버튼으로 클릭하고 관리를 선택하십시오.

새 사용자 보안 원칙을 추가하려면 사용자 폴더로 이동하여 마우스 오른쪽 단추를 클릭하고 새 사용자를 선택하십시오.

사용자를 두 번 클릭하면 소속 그룹 탭의 보안 그룹에 추가 할 수 있습니다.

새 보안 그룹을 생성하려면 오른쪽에있는 그룹 폴더로 이동합니다. 공백을 마우스 오른쪽 버튼으로 클릭하고 새 그룹을 선택합니다.

공유 권한 및 NTFS 권한

Windows에는 두 가지 유형의 파일 및 폴더 권한이 있습니다. 첫째, 공유 권한이 있습니다. 둘째, 보안 권한이라고도하는 NTFS 권한이 있습니다. 공유 폴더 보안은 일반적으로 공유 및 NTFS 권한의 조합으로 수행됩니다. 이 경우 가장 제한적인 권한이 항상 적용된다는 점을 기억해야합니다. 예를 들어 공유 권한이 Everyone 보안 원칙에 읽기 권한을 부여하지만 NTFS 권한이 사용자가 파일을 변경할 수 있도록 허용하는 경우 공유 권한이 우선하고 사용자는 변경할 수 없습니다. 권한을 설정하면 LSASS (Local Security Authority)가 리소스에 대한 액세스를 제어합니다. 로그온하면 SID가있는 액세스 토큰이 제공됩니다. 리소스에 액세스 할 때 LSASS는 ACL (액세스 제어 목록)에 추가 한 SID를 비교합니다. SID가 ACL에 있으면 액세스를 허용할지 거부할지 결정합니다. 어떤 권한을 사용하든 차이가 있으므로 언제 무엇을 사용해야하는지 자세히 살펴 보겠습니다.

공유 권한 :

네트워크를 통해 리소스에 액세스하는 사용자에게만 적용됩니다. 예를 들어 터미널 서비스를 통해 로컬로 로그온하는 경우에는 적용되지 않습니다.
공유 리소스의 모든 파일과 폴더에 적용됩니다. 보다 세분화 된 제한 체계를 제공하려면 공유 권한 외에 NTFS 권한을 사용해야합니다.
FAT 또는 FAT32로 포맷 된 볼륨이있는 경우 해당 파일 시스템에서 NTFS 권한을 사용할 수 없기 때문에 이것이 사용할 수있는 유일한 제한 형식입니다.

NTFS 권한 :

NTFS 권한에 대한 유일한 제한은 NTFS 파일 시스템으로 포맷 된 볼륨에서만 설정할 수 있다는 것입니다.
NTFS 권한은 누적됩니다. 즉, 사용자의 유효 권한은 사용자에게 할당 된 권한과 사용자가 속한 그룹의 권한을 결합한 결과입니다.

새로운 공유 권한

Windows 7은 새로운 "쉬운"공유 기술과 함께 구입했습니다. 옵션이 읽기, 변경 및 모든 권한에서 읽기 및 읽기 / 쓰기로 변경되었습니다. 이 아이디어는 전체 홈 그룹 정신의 일부였으며 컴퓨터에 익숙하지 않은 사람들이 폴더를 쉽게 공유 할 수 있도록합니다. 이것은 상황에 맞는 메뉴를 통해 이루어지며 홈 그룹과 쉽게 공유됩니다.

홈 그룹에 속하지 않는 사람과 공유하려면 항상 "특정 사람…"옵션을 선택할 수 있습니다. 그러면 사용자 나 그룹을 지정할 수있는보다 "정교한"대화 상자가 나타납니다.

앞서 언급했듯이 두 가지 권한 만 있습니다. 함께, 그들은 폴더와 파일에 대한 보호 체계를 전부 또는 전혀 제공하지 않습니다.

읽다 권한은 "보기, 만지지 마십시오"옵션입니다. 수신자는 파일을 열 수 있지만 수정하거나 삭제할 수는 없습니다.

읽기 / 쓰기 "무엇이든 수행"옵션입니다. 수신자는 파일을 열거 나 수정하거나 삭제할 수 있습니다.

올드 스쿨 허가

이전 공유 대화 상자에는 다른 별칭으로 폴더를 공유하는 옵션과 같은 더 많은 옵션이 있습니다. 이를 통해 동시 연결 수를 제한하고 캐싱을 구성 할 수있었습니다. 이 기능은 Windows 7에서 손실되지 않지만 "고급 공유"라는 옵션 아래에 숨겨져 있습니다. 폴더를 마우스 오른쪽 버튼으로 클릭하고 속성으로 이동하면 공유 탭에서 이러한 "고급 공유"설정을 찾을 수 있습니다.

로컬 관리자 자격 증명이 필요한 "고급 공유"버튼을 클릭하면 이전 버전의 Windows에서 익숙했던 모든 설정을 구성 할 수 있습니다.

권한 버튼을 클릭하면 우리 모두에게 익숙한 3 가지 설정이 표시됩니다.

읽다 권한을 사용하면 파일과 하위 디렉터리를보고 열 수있을뿐만 아니라 응용 프로그램을 실행할 수도 있습니다. 그러나 변경은 허용되지 않습니다.
수정 허가를 받으면 읽다 권한이 허용되며 파일 및 하위 디렉터리를 추가하고 하위 폴더를 삭제하고 파일의 데이터를 변경하는 기능도 추가합니다.
완전한 통제하에있는 이전 권한을 모두 수행 할 수 있도록 허용하므로 클래식 권한의 "무엇이든 수행"입니다. 또한 고급 변경 NTFS 권한을 제공하지만 NTFS 폴더에만 적용됩니다.

NTFS 권한

NTFS 권한을 사용하면 파일과 폴더를 매우 세밀하게 제어 할 수 있습니다. 즉, 세분화의 양은 신규 사용자에게 어려울 수 있습니다. 파일 단위 및 폴더 단위로 NTFS 권한을 설정할 수도 있습니다. 파일에 대한 NTFS 권한을 설정하려면 마우스 오른쪽 버튼을 클릭하고 파일 속성으로 이동 한 다음 보안 탭으로 이동해야합니다.

사용자 또는 그룹의 NTFS 권한을 편집하려면 편집 버튼을 클릭합니다.

보시다시피 NTFS 권한이 상당히 많으므로 세분화하겠습니다. 먼저 파일에 설정할 수있는 NTFS 권한을 살펴 보겠습니다.

완전한 통제하에있는 읽기, 쓰기, 수정, 실행, 속성, 권한 변경 및 파일 소유권 가져 오기를 허용합니다.

수정 파일의 속성을 읽고, 쓰고, 수정하고, 실행하고, 변경할 수 있습니다.

읽기 및 실행 파일의 데이터, 속성, 소유자 및 권한을 표시하고 프로그램 인 경우 파일을 실행할 수 있습니다.

읽다 파일을 열고 해당 속성, 소유자 및 권한을 볼 수 있습니다.

쓰다 파일에 데이터를 쓰고, 파일에 추가하고, 속성을 읽거나 변경할 수 있습니다.

폴더에 대한 NTFS 권한은 옵션이 약간 다르므로 살펴 보겠습니다.

완전한 통제하에있는 폴더에있는 파일을 읽고, 쓰고, 수정하고, 실행하고, 속성, 권한을 변경하고, 폴더 또는 파일에 대한 소유권을 가질 수 있습니다.

수정 폴더에있는 파일을 읽고, 쓰고, 수정하고, 실행하고, 폴더 내의 파일 속성을 변경할 수 있습니다.

읽기 및 실행 폴더의 내용을 표시하고 폴더 내의 파일에 대한 데이터, 속성, 소유자 및 권한을 표시하고 폴더 내의 파일을 실행할 수 있습니다.

폴더 내용 나열 폴더의 내용을 표시하고 폴더 내의 파일에 대한 데이터, 속성, 소유자 및 권한을 표시하고 폴더 내의 파일을 실행할 수 있습니다.

읽다 파일의 데이터, 속성, 소유자 및 권한을 표시 할 수 있습니다.

쓰다 파일에 데이터를 쓰고, 파일에 추가하고, 속성을 읽거나 변경할 수 있습니다.

요약

요약하면 사용자 이름과 그룹은 SID (Security Identifier)라고하는 영숫자 문자열의 표현입니다. 공유 및 NTFS 권한은 이러한 SID에 연결됩니다. 공유 권한은 네트워크를 통해 액세스 될 때만 LSSAS에 의해 확인되는 반면, NTFS 권한은 공유 권한과 결합되어 네트워크는 물론 로컬에서 액세스되는 리소스에 대해보다 세분화 된 보안 수준을 허용합니다.

공유 리소스에 액세스

이제 PC에서 콘텐츠를 공유하는 데 사용할 수있는 두 가지 방법에 대해 배웠으므로 실제로 네트워크를 통해 액세스하는 방법은 무엇입니까? 매우 간단합니다. 탐색 표시 줄에 다음을 입력하십시오.

\\ 컴퓨터 이름 \ 공유 이름

참고 : 당연히 공유를 호스팅하는 PC의 이름을 computername으로, 공유 이름을 sharename으로 대체해야합니다.

이것은 일회성 연결에 적합하지만 더 큰 기업 환경에서는 어떻습니까? 이 방법을 사용하여 네트워크 리소스에 연결하는 방법을 사용자에게 가르 칠 필요는 없습니다. 이 문제를 해결하려면 각 사용자에 대한 네트워크 드라이브를 매핑해야합니다. 이렇게하면 공유에 연결하는 방법을 설명하는 대신 "H"드라이브에 문서를 저장하도록 조언 할 수 있습니다. 드라이브를 매핑하려면 컴퓨터를 열고 '네트워크 드라이브 매핑'버튼을 클릭합니다.