특수 ID 그룹
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
Windows 액세스 제어에 사용되는 Windows Server 특수 ID 그룹(보안 그룹이라고도 함)에 대해 알아봅니다.
특수 ID 그룹이란?
특수 ID 그룹은 Active Directory 사용자 및 BuiltIn 컨테이너에 나열된 Active Directory 보안 그룹과 유사합니다. 특수 ID 그룹은 네트워크의 리소스에 대한 액세스를 할당하는 효율적인 방법을 제공할 수 있습니다. 특수 ID 그룹을 사용하여 다음을 수행할 수 있습니다.
Active Directory의 보안 그룹에 사용자 권한을 할당합니다.
리소스에 액세스할 수 있는 권한을 보안 그룹에 할당합니다.
Windows Server에서 특수 ID 그룹이 작동하는 방식
서버가 이 문서의 시작 부분에 적용 대상에 표시된 Windows Server 운영 체제 버전 중 하나를 실행하는 경우 서버에는 몇 가지 특수 ID 그룹이 있습니다. 이러한 특수 ID 그룹에는 수정할 수 있는 특정 멤버 자격이 없지만 상황에 따라 서로 다른 시간에 다른 사용자를 나타낼 수 있습니다.
특정 리소스에 대한 권한과 권한을 특수 ID 그룹에 할당할 수 있지만 특수 ID 그룹의 멤버 자격을 보거나 수정할 수는 없습니다. 그룹 범위는 특수 ID 그룹에 적용되지 않습니다. 사용자는 특정 리소스에 로그인하거나 액세스할 때 특수 ID 그룹에 자동으로 할당됩니다.
Active Directory 보안 그룹 및 그룹 범위에 대한 자세한 내용은 Active Directory 보안 그룹을 참조하세요.
기본 특수 ID 그룹
Windows Server의 기본 특수 ID 그룹은 다음 목록에 설명되어 있습니다.
- 익명 로그온
- 증명된 키 속성
- 인증된 사용자
- 인증 기관이 ID를 어설션했습니다.
- Batch
- 콘솔 로그온
- 작성자 그룹
- 작성자 소유자
- 다이얼업
- 다이제스트 인증
- Enterprise Do기본 컨트롤러
- Enterprise 읽기 전용 Do기본 컨트롤러
- 모든 사용자
- 새 공개 키 ID
- 대화형
- Iusr
- 키 신뢰
- 로컬 서비스
- LocalSystem
- MFA 키 속성
- 네트워크
- 네트워크 서비스
- NTLM 인증
- 기타 조직
- 소유자 권한
- 보안 주체 자체
- 프록시
- 읽기 전용인 Do기본 컨트롤러
- 원격 대화형 로그온
- Restricted
- SChannel 인증
- 서비스
- 서비스 어설션된 ID
- 터미널 서버 사용자
- 이 조직
- Window Manager\Window Manager 그룹
Anonymous Logon
익명 로그온을 통해 시스템에 액세스하는 모든 사용자에게는 익명 로그온 ID가 있습니다. 이 ID를 사용하면 회사 서버에 게시된 웹 페이지와 같은 리소스에 익명으로 액세스할 수 있습니다. 익명 로그온 그룹은 기본적으로 Everyone 그룹의 구성원이 아닙니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-7 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
증명된 키 속성
키 신뢰 개체에 증명 속성이 있음을 의미하는 SID(보안 식별자)입니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-18-6 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
인증된 사용자
로그인 프로세스를 통해 시스템에 액세스하는 모든 사용자에게는 인증된 사용자 ID가 있습니다. 이 ID를 사용하면 조직의 모든 작업자가 액세스할 수 있어야 하는 공유 폴더의 파일과 같이 do기본 내의 공유 리소스에 액세스할 수 있습니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-11 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight 수행할 워크스테이션 추가기본: SeMachineAccountPrivilege 트래버스 검사 우회: SeChangeNotifyPrivilege |
인증 기관이 ID를 어설션했습니다.
클라이언트의 ID가 클라이언트 자격 증명의 소유 증명에 따라 인증 기관에서 어설션됨을 의미하는 SID입니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-18-1 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
Batch
일괄 처리 작업 또는 일괄 처리 큐를 통해 시스템에 액세스하는 모든 사용자 또는 프로세스에는 Batch ID가 있습니다. 이 ID를 사용하면 일괄 처리 작업이 임시 파일을 삭제하는 야간 클린업 작업과 같은 예약된 작업을 실행할 수 있습니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-3 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
콘솔 로그온
실제 콘솔에 로그온한 사용자를 포함하는 그룹입니다. 이 SID는 사용자에게 콘솔에 대한 물리적 액세스 권한이 부여되었는지 여부에 따라 다른 권한을 부여하는 보안 정책을 구현하는 데 사용할 수 있습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-2-1 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
작성자 그룹
파일 또는 디렉터리를 만든 사람은 이 특수 ID 그룹의 구성원입니다. Windows Server 운영 체제는 이 ID를 사용하여 파일 또는 디렉터리의 작성자에 대한 액세스 권한을 자동으로 부여합니다.
자리 표시자 SID는 ACE(상속 가능한 액세스 제어 항목)에 만들어집니다. ACE가 상속되면 시스템은 이 SID를 개체의 현재 소유자의 기본 그룹에 대한 SID로 바꿉니다. 기본 그룹은 POSIX 하위 시스템에만 사용됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-3-1 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
작성자 소유자
파일 또는 디렉터리를 만든 사람은 이 특수 ID 그룹의 구성원입니다. Windows Server 운영 체제는 이 ID를 사용하여 파일 또는 디렉터리의 작성자에 대한 액세스 권한을 자동으로 부여합니다. 자리 표시자 SID는 상속 가능한 ACE에 만들어집니다. ACE가 상속되면 시스템은 이 SID를 개체의 현재 소유자에 대한 SID로 바꿉니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-3-0 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
Dialup (DIALUP)
전화 접속 연결을 통해 시스템에 액세스하는 모든 사용자에게는 전화 접속 ID가 있습니다. 이 ID는 전화 접속 사용자를 다른 유형의 인증된 사용자와 구분합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-1 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
다이제스트 인증
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-64-21 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
Enterprise Domain Controllers
이 그룹에는 Active Directory 포리스트의 모든 do기본 컨트롤러가 포함됩니다. 엔터프라이즈 차원의 역할과 책임이 있는 컨트롤러에는 엔터프라이즈 Do기본 컨트롤러 ID가 기본. 이 ID를 사용하면 do기본 컨트롤러가 전이적 트러스트를 사용하여 엔터프라이즈에서 특정 작업을 수행할 수 있습니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-9 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight 로컬로 로그온 허용: SeInteractiveLogonRight |
Enterprise 읽기 전용 Do기본 컨트롤러
이 그룹에는 Active Directory 포리스트의 모든 do기본 컨트롤러가 포함됩니다. 엔터프라이즈 차원의 역할과 책임이 있는 컨트롤러에는 엔터프라이즈 Do기본 컨트롤러 ID가 기본. 계정 암호를 제외하고 RODC(읽기 전용 do기본 컨트롤러)에는 쓰기 가능 컨트롤러가 보유하는 모든 Active Directory 개체 및 특성이 기본. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-RootDo<기본> |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
모두
모든 대화형, 네트워크, 전화 접속 및 인증된 사용자는 모두 그룹의 구성원입니다. 이 특수 ID 그룹은 시스템 리소스에 대한 광범위한 액세스를 제공합니다. 사용자가 네트워크에 로그온하면 사용자가 Everyone 그룹에 자동으로 추가됩니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
Windows 2000 이하를 실행하는 컴퓨터에서 Everyone 그룹은 익명 로그온 그룹을 기본 멤버로 포함했습니다. Windows Server 2003부터 모든 사용자 그룹에는 인증된 사용자 및 게스트만 포함됩니다. 그룹에는 기본적으로 익명 로그온이 더 이상 포함되어 있지 않습니다. 익명 로그온 그룹을 포함하도록 Everyone 그룹 설정을 변경하려면 레지스트리 편집기에서 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 키로 이동하여 everyoneincludesanonymous DWORD의 값을 1로 설정합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-1-0 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 네트워크에서 이 컴퓨터에 액세스: SeNetworkLogonRight 트래버스 검사 우회: SeChangeNotifyPrivilege |
새 공개 키 ID
클라이언트의 ID가 클라이언트 공개 키 자격 증명의 현재 소유 증명을 기반으로 인증 기관에서 어설션됨을 의미하는 SID입니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-18-3 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
대화형
로컬 시스템에 로그온한 모든 사용자에게는 대화형 ID가 있습니다. 이 ID를 사용하면 로컬 사용자만 리소스에 액세스할 수 있습니다. 사용자가 현재 로그온한 컴퓨터의 특정 리소스에 액세스하면 사용자가 대화형 그룹에 자동으로 추가됩니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-4 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
Iusr
인터넷 정보 서비스(IIS)는 익명 인증을 사용하도록 설정하면 기본적으로 이 계정을 사용합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-17 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
키 신뢰
클라이언트의 ID가 키 신뢰 개체를 사용하여 공개 키 자격 증명의 소유 증명을 기반으로 한다는 것을 의미하는 SID입니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-18-4 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
로컬 서비스
로컬 서비스 계정은 인증된 사용자 계정과 유사합니다. 로컬 서비스 계정의 멤버는 사용자 그룹의 멤버와 동일한 수준의 리소스 및 개체에 액세스할 수 있습니다. 이 제한된 액세스 권한 덕분에 개별 서비스나 프로세스가 손상되어도 시스템을 보호할 수 있습니다. 로컬 서비스 계정으로 실행되는 서비스는 익명 자격 증명을 사용하여 null 세션으로 네트워크 리소스에 액세스합니다. 계정 이름은 NT AUTHORITY\LocalService입니다. 이 계정에는 암호가 없습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-19 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 프로세스에 대한 메모리 할당량 조정: SeIncreaseQuotaPrivilege 트래버스 검사 우회: SeChangeNotifyPrivilege 시스템 시간 변경: SeSystemtimePrivilege 표준 시간대 변경: SeTimeZonePrivilege 전역 개체 만들기: SeCreateGlobalPrivilege 보안 감사 생성: SeAuditPrivilege 인증 후 클라이언트 가장: SeImpersonatePrivilege 프로세스 수준 토큰 바꾸기: SeAssignPrimaryTokenPrivilege |
LocalSystem
LocalSystem 계정은 운영 체제에서 사용하는 서비스 계정입니다. LocalSystem 계정은 시스템에 대한 모든 액세스 권한이 있고 네트워크에서 컴퓨터 역할을 하는 강력한 계정입니다. 서비스가 do기본 컨트롤러의 LocalSystem 계정에 로그온하는 경우 해당 서비스는 전체 do기본 액세스할 수 있습니다. 일부 서비스는 기본적으로 LocalSystem 계정에 로그온하도록 구성됩니다. 기본 서비스 설정을 변경하지 마세요. 계정 이름은 LocalSystem입니다. 이 계정에는 암호가 없습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-18 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
MFA 키 속성
키 신뢰 개체에 MFA(다단계 인증) 속성이 있음을 의미하는 SID입니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-18-5 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
네트워크
이 그룹에는 네트워크 연결을 통해 로그온한 모든 사용자가 암시적으로 포함됩니다. 네트워크를 통해 시스템에 액세스하는 모든 사용자에게는 네트워크 ID가 있습니다. 이 ID를 사용하면 원격 사용자만 리소스에 액세스할 수 있습니다. 사용자가 네트워크를 통해 특정 리소스에 액세스하면 사용자가 네트워크 그룹에 자동으로 추가됩니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-2 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
네트워크 서비스
네트워크 서비스 계정은 인증된 사용자 계정과 유사합니다. 네트워크 서비스 계정의 구성원은 사용자 그룹의 멤버와 동일한 수준의 리소스 및 개체에 액세스할 수 있습니다. 이 제한된 액세스 권한 덕분에 개별 서비스나 프로세스가 손상되어도 시스템을 보호할 수 있습니다. 네트워크 서비스 계정으로 실행되는 서비스는 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 액세스합니다. 계정 이름은 NT AUTHORITY\NetworkService입니다. 이 계정에는 암호가 없습니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-20 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 프로세스에 대한 메모리 할당량 조정: SeIncreaseQuotaPrivilege 트래버스 검사 우회: SeChangeNotifyPrivilege 전역 개체 만들기: SeCreateGlobalPrivilege 보안 감사 생성: SeAuditPrivilege 인증 후 클라이언트 가장: SeImpersonatePrivilege 프로세스 수준 토큰 바꾸기: SeAssignPrimaryTokenPrivilege |
NTLM 인증
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-64-10 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
기타 조직
이 그룹에는 전화 접속 연결을 통해 시스템에 로그온한 모든 사용자가 암시적으로 포함됩니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-1000 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
소유자 권한
소유자 권한 그룹은 개체의 현재 소유자를 나타냅니다. 이 SID를 전달하는 ACE가 개체에 적용되면 시스템은 개체 소유자에 대한 암시적 READ_CONTROL 및 WRITE_DAC 권한을 무시합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-3-4 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
보안 주체 자체
이 ID는 Active Directory의 사용자, 그룹 또는 컴퓨터 개체에 대한 ACE의 자리 표시자입니다. 보안 주체 자체에 권한을 부여하면 개체가 나타내는 보안 주체에 권한을 부여합니다. 액세스 검사 중에 운영 체제는 보안 주체에 대한 SID를 개체가 나타내는 보안 주체의 SID로 바꿉니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-10 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
프록시
SECURITY_NT_AUTHORITY 프록시를 식별합니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-8 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
읽기 전용인 Do기본 컨트롤러
이 그룹에는 Active Directory 데이터베이스에 대한 읽기 전용 권한이 있는 포리스트의 모든 RODC가 포함됩니다. 물리적 보안이 부족하거나 보장되지 않는 경우 기본 컨트롤러 배포를 허용합니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-21-do<기본> |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
참고 항목
거부된 RODC 암호 복제 그룹은 포리스트에서 RODC 계정을 만들 때 자동으로 만들어집니다. 암호는 거부된 RODC 암호 복제 그룹에서 복제본(replica) 수 없습니다.
원격 대화형 로그온
이 ID는 원격 데스크톱 프로토콜 연결을 사용하여 현재 컴퓨터에 로그온한 모든 사용자를 나타냅니다. 이 그룹은 대화형 그룹의 하위 집합입니다. 원격 대화형 로그온 SID를 포함하는 액세스 토큰에는 대화형 SID도 포함됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-14 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
Restricted
제한된 기능을 가진 사용자 및 컴퓨터에는 제한된 ID가 있습니다. 이 ID 그룹은 RunAs 서비스를 사용하여 애플리케이션을 실행하는 것과 같이 제한된 보안 컨텍스트에서 실행되는 프로세스에서 사용됩니다. 코드가 제한된 보안 수준에서 실행되면 제한된 SID가 사용자의 액세스 토큰에 추가됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-12 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
SChannel 인증
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-64-14 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
서비스
시스템에 액세스하는 모든 서비스에는 서비스 ID가 있습니다. 이 ID 그룹에는 서비스로 로그인된 모든 보안 주체가 포함됩니다. 이 ID는 Windows Server 서비스가 실행 중인 프로세스에 대한 액세스 권한을 부여합니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-6 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 전역 개체 만들기: SeCreateGlobalPrivilege 인증 후 클라이언트 가장: SeImpersonatePrivilege |
서비스 어설션된 ID
클라이언트의 ID가 서비스에서 어설션됨을 의미하는 SID입니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-18-2 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
터미널 서버 사용자
터미널 서비스를 통해 시스템에 액세스하는 모든 사용자에게는 터미널 서버 사용자 ID가 있습니다. 이 ID를 사용하면 사용자가 터미널 서버 애플리케이션에 액세스하고 터미널 서버 서비스를 사용하여 다른 필요한 작업을 수행할 수 있습니다. 멤버 자격은 운영 체제에 의해 제어됩니다.
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-13 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
This Organization
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-15 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 없음 |
Window Manager\Window Manager 그룹
| attribute | 값 |
|---|---|
| 잘 알려진 SID/RID | S-1-5-90 |
| 개체 클래스 | 외신 보안 주체 |
| Active Directory의 기본 위치 | CN=WellKnown 보안 주체, CN=Configuration, DC=<forestRootDo기본> |
| 기본 사용자 권한 | 트래버스 검사 우회: SeChangeNotifyPrivilege 프로세스 작업 집합 증가: SeIncreaseWorkingSetPrivilege |