이 문서에서는 읽기 권한이 없는 파일 시스템 폴더에 대한 액세스 권한을 얻기 위해 계속을 선택할 때 발생하는 문제에 대한 해결 방법을 제공합니다.
원래 KB 번호: 950934
소개
이 문서에서는 Windows 탐색기에서 읽기 권한이 없는 파일 시스템 폴더에 대한 액세스 권한을 얻기 위해 계속을 선택하라는 메시지를 표시하는 시나리오를 설명합니다. 또한 이 동작의 특정 측면을 방지하기 위한 해결 방법을 설명합니다. 이 문제는 Windows Vista 이상 버전의 Windows 및 Windows Server 2008 이상 버전의 Windows Server에서 발생합니다. Windows 탐색기는 Windows 8 이상 버전에서 파일 탐색기 호출됩니다.
자세한 정보
UAC(사용자 계정 컨트롤)가 사용하도록 설정되어 있고 Windows 탐색기를 사용하여 읽기 권한이 없는 폴더에 액세스한다고 가정합니다. 또한 폴더는 숨김 및 시스템 특성으로 표시되지 않습니다. 이 경우 Windows 탐색기에 다음 메시지가 표시되는 대화 상자가 표시됩니다.
현재 이 폴더에 액세스할 수 있는 권한이 없습니다. 이 폴더에 영구적으로 액세스하려면 [계속]을 클릭하십시오.
참고 항목
Windows Vista 및 Windows Server 2008에서는 두 번째 문장에 단어가 영구적으로 포함되지 않습니다. 이 폴더에 액세스하려면 [계속]을 클릭하십시오.
그런 다음 계속 또는 취소를 선택할 수 있습니다. (계속은 기본적으로 선택되어 있습니다.) 계속을 선택하면 UAC에서 사용자 대신 관리 권한을 가져오려고 시도합니다. UAC 권한 상승 프롬프트의 동작을 제어하는 UAC 보안 설정 및 관리자 그룹의 구성원인지 여부에 따라 동의 또는 자격 증명을 묻는 메시지가 표시될 수 있습니다. 또는 메시지가 전혀 표시되지 않을 수 있습니다. UAC에서 관리 권한을 얻을 수 있는 경우 백그라운드 프로세스는 폴더 및 모든 하위 폴더 및 파일에 대한 권한을 변경하여 사용자 계정에 액세스 권한을 부여합니다. Windows Vista 및 Windows Server 2008에서 백그라운드 프로세스는 사용자 계정에 읽기 및 실행 권한을 부여합니다. 이후 버전의 Windows에서 이 프로세스는 사용자 계정에 모든 권한을 부여합니다.
이 동작은 의도된 것입니다. 그러나 UAC 권한 상승의 일반적인 패턴은 관리자 권한으로 관리자 권한의 인스턴스를 실행하는 것이기 때문에 사용자는 계속을 선택하여 Windows 탐색기의 관리자 권한 인스턴스를 생성하고 파일 시스템 권한을 영구적으로 변경하지 않을 것으로 예상할 수 있습니다. 그러나 Windows 탐색기의 디자인은 대화형 사용자 세션의 여러 보안 컨텍스트에서 여러 프로세스 인스턴스의 실행을 지원하지 않으므로 이러한 기대는 불가능합니다.
UAC를 사용하지 않도록 설정하면 UAC 권한 상승이 불가능합니다. Windows 탐색기를 포함하여 Administrators 그룹의 구성원이 실행하는 모든 프로그램에는 항상 관리 권한이 있습니다. 따라서 관리자는 관리자 권한을 필요로 하는 리소스에 액세스하기 위해 권한 상승을 사용할 필요가 없습니다. 예를 들어 폴더가 Administrators 그룹 및 시스템 계정에만 액세스 권한을 부여하는 경우 관리자는 폴더의 사용 권한을 변경하라는 메시지가 표시되지 않고 직접 찾아볼 수 있습니다. 사용자에게 읽기 권한이 없는 경우 Windows 탐색기에서 앞에서 설명한 대화 상자를 표시합니다. 그러나 UAC를 사용하지 않도록 설정한 경우 Windows는 UAC 권한 상승 프롬프트를 통해 사용자에 대한 관리 자격 증명을 요청할 수 없습니다. 따라서 Windows는 파일 시스템 권한을 변경하는 관리 권한이 있는 백그라운드 프로세스를 시작하지 않습니다.
그러나 사용자가 계속을 선택하고 폴더의 현재 보안 설명자가 개체의 사용 권한을 읽고 변경할 수 있는 권한을 사용자에게 부여하는 경우 Windows는 사용자의 현재 보안 컨텍스트에서 백그라운드 프로세스를 시작하고 폴더의 사용 권한을 수정하여 앞서 설명한 대로 사용자에게 더 많은 액세스 권한을 부여합니다. 사용자는 개체 소유권 또는 개체의 ACL(액세스 제어 목록)에서 개체의 사용 권한을 읽고 변경할 수 있는 권한이 있을 수 있습니다.
알려진 문제
이 기능은 예기치 않은 동작을 일으킬 수 있습니다. 예를 들어 관리자 그룹에 속하며 Windows 탐색기를 사용하여 관리 액세스가 필요한 폴더에 액세스한다고 가정합니다. 권한이 변경된 후에는 관리자 그룹에서 계정이 제거된 후에도 사용자 계정을 통해 실행되는 모든 프로그램이 폴더를 완전히 제어할 수 있습니다. 이러한 변경된 권한은 조직의 보안 정책을 위반할 수 있으며 보안 감사에 플래그가 지정될 수 있습니다. 또한 프로그램에서 파일 시스템 권한을 확인하는 경우 사용 권한이 변경된 경우 실행을 거부할 수 있습니다.
Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하지 않도록 설정하는 방법에 설명된 제한된 상황을 제외하고 모든 경우에 UAC를 사용하도록 설정해야 합니다.
해결 방법 1
관리자만 액세스할 수 있는 폴더의 사용 권한을 변경하지 않도록 하려면 Windows 탐색기를 사용하는 대신 관리자 권한으로 실행할 수 있는 다른 프로그램을 사용하는 것이 좋습니다. 예를 들어 명령 프롬프트, PowerShell 및 공유 관리를 위한 컴퓨터 관리 MMC 스냅인이 있습니다.
해결 방법 2
일반 사용자가 액세스하지 못하도록 잠긴 애플리케이션별 폴더가 있는 경우 사용자 지정 그룹에 대한 권한을 추가한 다음 해당 그룹에 권한 있는 사용자를 추가할 수도 있습니다. 예를 들어 애플리케이션별 폴더가 Administrators 그룹 및 시스템 계정에 대한 액세스 권한만 부여하는 시나리오를 고려해 보세요. 이 경우 도메인 또는 로컬 AppManagers 그룹을 만든 다음 권한 있는 사용자를 추가합니다. 그런 다음, icacls.exe, 폴더의 속성 대화 상자의 보안 탭 또는 PowerShell Set-Acl cmdlet과 같은 유틸리티를 사용하여 기존 권한 외에도 AppManagers 그룹에 폴더의 모든 권한을 부여합니다.
AppManagers의 구성원인 사용자는 UAC가 폴더의 사용 권한을 변경하지 않고도 Windows 탐색기를 사용하여 폴더를 찾아볼 수 있습니다. 이 대안은 애플리케이션별 폴더에만 적용됩니다. Windows 운영 체제의 일부인 폴더(예: C:\Windows\ServiceProfiles)에 대한 사용 권한을 변경하지 않아야 합니다.