정책 CSP - UserRights
중요
이 CSP에는 개발 중인 일부 설정이 포함되어 있으며 Windows Insider Preview 빌드에만 적용됩니다. 이러한 설정은 변경될 수 있으며 미리 보기의 다른 기능 또는 서비스에 대한 종속성이 있을 수 있습니다.
사용자 계정 또는 그룹에 대한 사용자 권한이 할당됩니다. 정책의 이름은 해당 사용자 권한을 정의하며 값은 항상 사용자 또는 그룹입니다. 값은 SID(보안 식별자) 또는 문자열로 나타낼 수 있습니다. 자세한 내용은 잘 알려진 SID 구조를 참조하세요.
잘 알려진 계정 및 그룹에 대해 문자열이 지원되더라도 문자열은 다른 언어로 지역화되므로 SID를 사용하는 것이 좋습니다. 일부 사용자 권한은 AccessFromNetwork와 같은 항목을 허용하는 반면, 다른 사용자는 DenyAccessFromNetwork와 같은 항목을 허용하지 않습니다.
일반 예제
다음은 관리자 및 인증된 사용자 그룹에 대한 사용자 권한 BackupFilesAndDirectories 를 설정하는 예제입니다.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>chr</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
</Target>
<Data>Authenticated UsersAdministrators</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
다음은 데이터 필드의 예입니다. 인코딩된 0xF000 는 표준 구분 기호/구분 기호입니다.
SID를 통해 사용자에게 관리자 그룹에 대한 권한을 부여합니다.
<Data>*S-1-5-32-544</Data>SID를 통해 사용자에게 여러 그룹(관리자, 인증된 사용자)에게 권한을 부여합니다.
<Data>*S-1-5-32-544*S-1-5-11</Data>SID와 문자열을 혼합하여 여러 그룹(관리자, 인증된 사용자)에게 권한을 부여합니다.
<Data>*S-1-5-32-544Authenticated Users</Data>문자열을 통해 사용자에게 여러 그룹(인증된 사용자, 관리자)에게 권한을 부여합니다.
<Data>Authenticated UsersAdministrators</Data>빈 입력은 해당 사용자 권한을 갖도록 구성된 사용자가 없음을 나타냅니다.
<Data></Data>
Intune 사용자 지정 프로필을 사용하여 UserRights 정책을 할당하는 경우 CDATA 태그(<![CDATA[...]]>)를 사용하여 데이터 필드를 래핑해야 합니다. 를 구분 기호/구분 기호로 사용하여 0xF000 CDATA 태그 내에서 하나 이상의 사용자 그룹을 지정할 수 있습니다.
참고
 는 의 엔터티 인코딩입니다 0xF000.
예를 들어 다음 구문은 인증된 사용자 및 복제자 사용자 그룹에 대한 사용자 권한을 부여합니다.
<![CDATA[Authenticated UsersReplicator]]>
예를 들어 다음 구문은 Contoso, user1 및 user2의 두 특정 Microsoft Entra 사용자에게 사용자 권한을 부여합니다.
<![CDATA[AzureAD\user1@contoso.comAzureAD\user2@contoso.com]]>
예를 들어 다음 구문은 계정 또는 그룹의 SID를 사용하여 특정 사용자 또는 그룹에 대한 사용자 권한을 부여합니다.
<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>
AccessCredentialManagerAsTrustedCaller
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller
이 사용자 권한은 백업/복원 중에 자격 증명 관리자에서 사용됩니다. Winlogon에만 할당되므로 이 권한이 있는 계정은 없습니다. 이 권한이 다른 엔터티에 부여되면 사용자의 저장된 자격 증명이 손상될 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 신뢰할 수 있는 호출자로 자격 증명 관리자 액세스 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
AccessFromNetwork
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork
이 사용자 권한은 네트워크를 통해 컴퓨터에 연결할 수 있는 사용자 및 그룹을 결정합니다. 원격 데스크톱 서비스는 이 사용자 권한의 영향을 받지 않습니다.
참고
원격 데스크톱 서비스는 이전 버전의 Windows Server에서 터미널 서비스라고 했습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크에서 이 컴퓨터 액세스 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ActAsPartOfTheOperatingSystem
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem
이 사용자 권한은 프로세스가 인증 없이 모든 사용자를 가장할 수 있도록 허용합니다. 따라서 프로세스는 해당 사용자와 동일한 로컬 리소스에 액세스할 수 있습니다. 이 권한이 필요한 프로세스는 이 권한이 특별히 할당된 별도의 사용자 계정을 사용하는 대신 이미 이 권한이 포함된 LocalSystem 계정을 사용해야 합니다.
주의
이 사용자 권한을 할당하는 것은 보안 위험이 될 수 있습니다. 신뢰할 수 있는 사용자에게만 이 사용자 권한을 할당합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 운영 체제의 일부로 작동 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
AdjustMemoryQuotasForProcess
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess
프로세스에 대한 메모리 할당량 조정 - 이 권한은 프로세스에서 사용할 수 있는 최대 메모리를 변경할 수 있는 사용자를 결정합니다. 이 권한은 그룹 또는 사용자별로 시스템 튜닝에 유용합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 프로세스의 메모리 할당량 조정 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
AllowLocalLogOn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn
이 사용자 권한은 컴퓨터에 로그온할 수 있는 사용자를 결정합니다.
참고
이 설정을 수정하면 클라이언트, 서비스 및 애플리케이션과의 호환성에 영향을 줄 수 있습니다. 이 설정에 대한 호환성 정보는 Microsoft 웹 사이트에서 로컬로 로그온 허용(https://go.microsoft.com/fwlink/?LinkId=24268 )을 참조하세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 로컬 로그온 허용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
AllowLogOnThroughRemoteDesktop
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop
원격 데스크톱 서비스를 통해 로그온 허용 - 이 정책 설정은 원격 데스크톱 서비스 연결을 통해 원격 디바이스의 로그인 화면에 액세스할 수 있는 사용자 또는 그룹을 결정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 원격 데스크톱 서비스를 통한 로그온 허용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
BackupFilesAndDirectories
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories
이 사용자 권한은 파일 및 디렉터리를 백업할 때 파일, 디렉터리, 레지스트리 및 기타 영구 개체 권한을 무시할 수 있는 사용자를 결정합니다. 특히 이 사용자 권한은 시스템의 모든 파일 및 폴더에 대해 해당 사용자 또는 그룹에 다음 권한을 부여하는 것과 비슷합니다. 폴더 트래버스/파일 실행, 읽기.
주의
이 사용자 권한을 할당하는 것은 보안 위험이 될 수 있습니다. 이 사용자 권한이 있는 사용자는 레지스트리 설정 및 파일을 읽을 수 있으므로 신뢰할 수 있는 사용자에게만 이 사용자 권한을 할당합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 파일 및 디렉터리 백업 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
BypassTraverseChecking
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking
이 사용자 권한은 사용자에게 트래버스된 디렉터리에 대한 권한이 없는 경우에도 디렉터리 트리를 트래버스할 수 있는 사용자를 결정합니다. 이 권한은 사용자가 디렉터리의 콘텐츠를 나열할 수 없으며 디렉터리를 트래버스하는 것만 허용합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 트래버스 검사 무시 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ChangeSystemTime
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime
이 사용자 권한은 컴퓨터의 내부 클록에서 시간과 날짜를 변경할 수 있는 사용자 및 그룹을 결정합니다. 이 사용자 권한이 할당된 사용자는 이벤트 로그의 모양에 영향을 줄 수 있습니다. 시스템 시간이 변경되면 기록된 이벤트는 이벤트가 발생한 실제 시간이 아니라 이 새 시간을 반영합니다.
주의
사용자 권한을 구성할 때 이전에 해당 사용자 권한에 할당된 기존 사용자 또는 그룹을 대체합니다. 시스템에서는 SIDS-1-5-19(로컬 서비스 계정)에 항상 ChangeSystemTime 권한이 있어야 합니다. 이 정책에서 구성해야 하는 다른 계정 외에도 항상 로컬 서비스를 지정합니다.
로컬 서비스 계정을 포함하지 않으면 다음 오류와 함께 요청이 실패합니다.
| 오류 코드 | 기호 이름 | 오류 설명 | 헤더 |
|---|---|---|---|
0x80070032 (16진수) |
ERROR_NOT_SUPPORTED | 요청은 지원되지 않습니다. | winerror.h |
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 시스템 시간 변경 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ChangeTimeZone
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone
이 사용자 권한은 컴퓨터에서 현지 시간을 표시하는 데 사용하는 표준 시간대를 변경할 수 있는 사용자 및 그룹을 결정합니다. 이 표준 시간대는 컴퓨터의 시스템 시간과 표준 시간대 오프셋입니다. 시스템 시간 자체는 절대이며 표준 시간대의 변경에 영향을 받지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 표준 시간대 변경 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
CreateGlobalObjects
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects
이 보안 설정은 사용자가 모든 세션에서 사용할 수 있는 전역 개체를 만들 수 있는지 여부를 결정합니다. 사용자는 이 사용자에게 권한이 없는 경우 자신의 세션과 관련된 개체를 만들 수 있습니다. 전역 개체를 만들 수 있는 사용자는 다른 사용자의 세션에서 실행되는 프로세스에 영향을 줄 수 있으며, 이로 인해 애플리케이션 실패 또는 데이터 손상이 발생할 수 있습니다.
주의
이 사용자 권한을 할당하는 것은 보안 위험이 될 수 있습니다. 신뢰할 수 있는 사용자에게만 이 사용자 권한을 할당합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 전역 개체 만들기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
CreatePageFile
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile
이 사용자 권한은 내부 API(애플리케이션 프로그래밍 인터페이스)를 호출하여 페이지 파일의 크기를 만들고 변경할 수 있는 사용자와 그룹을 결정합니다. 이 사용자 권한은 운영 체제에서 내부적으로 사용되며 일반적으로 사용자에게 할당할 필요가 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 페이지 파일 만들기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
CreatePermanentSharedObjects
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects
이 사용자 권한은 개체 관리자를 사용하여 디렉터리 개체를 만드는 프로세스에서 사용할 수 있는 계정을 결정합니다. 이 사용자 권한은 운영 체제에서 내부적으로 사용되며 개체 네임스페이스를 확장하는 커널 모드 구성 요소에 유용합니다. 커널 모드에서 실행되는 구성 요소에는 이미 이 사용자에게 할당된 권한이 있으므로 특별히 할당할 필요는 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 영구 공유 개체 만들기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
CreateSymbolicLinks
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks
이 사용자 권한은 사용자가 로그온한 컴퓨터에서 기호 링크를 만들 수 있는지 여부를 결정합니다.
주의
이 권한은 신뢰할 수 있는 사용자에게만 부여되어야 합니다. 기호 링크는 이를 처리하도록 설계되지 않은 애플리케이션에서 보안 취약성을 노출할 수 있습니다.
참고
이 설정은 명령줄 유틸리티와 함께 조작하여 컴퓨터에서 허용되는 symlink의 종류를 제어할 수 있는 symlink 파일 시스템 설정과 함께 사용할 수 있습니다. 'fsutil behavior set symlinkevaluation /?' 형식 명령줄에서 fsutil 및 기호 링크에 대한 자세한 정보를 가져옵니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 바로 가기 링크 만들기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
CreateToken
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken
이 사용자 권한은 프로세스에서 내부 API(애플리케이션 프로그래밍 인터페이스)를 사용하여 액세스 토큰을 만들 때 로컬 리소스에 액세스하는 데 사용할 수 있는 토큰을 만드는 데 사용할 수 있는 계정을 결정합니다. 이 사용자 권한은 운영 체제에서 내부적으로 사용됩니다. 필요한 경우가 아니면 로컬 시스템 이외의 사용자, 그룹 또는 프로세스에 이 사용자 권한을 할당하지 마세요.
주의
이 사용자 권한을 할당하는 것은 보안 위험이 될 수 있습니다. 시스템을 인수하지 않으려는 사용자, 그룹 또는 프로세스에 이 사용자 권한을 할당하지 마세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 토큰 개체 만들기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
DebugPrograms
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms
이 사용자 권한은 디버거를 모든 프로세스 또는 커널에 연결할 수 있는 사용자를 결정합니다. 자체 애플리케이션을 디버깅하는 개발자는 이 사용자에게 권한을 할당할 필요가 없습니다. 새 시스템 구성 요소를 디버깅하는 개발자는 이 사용자 권한이 필요합니다. 이 사용자 권한은 중요하고 중요한 운영 체제 구성 요소에 대한 완전한 액세스를 제공합니다.
주의
이 사용자 권한을 할당하는 것은 보안 위험이 될 수 있습니다. 신뢰할 수 있는 사용자에게만 이 사용자 권한을 할당합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 프로그램 디버그 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
DenyAccessFromNetwork
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork
이 사용자 권한은 네트워크를 통해 컴퓨터에 액세스할 수 없는 사용자를 결정합니다. 이 정책 설정은 사용자 계정이 두 정책의 적용을 받는 경우 네트워크 정책 설정에서 이 컴퓨터에 액세스합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크에서 이 컴퓨터 액세스 거부 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
DenyLocalLogOn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn
이 보안 설정은 프로세스를 서비스로 등록할 수 없는 서비스 계정을 결정합니다.
참고
이 보안 설정은 시스템, 로컬 서비스 또는 네트워크 서비스 계정에 적용되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 서비스로 로그온 거부 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
DenyLogOnAsBatchJob
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob
이 보안 설정은 일괄 처리 작업으로 로그온할 수 없는 계정을 결정합니다. 이 정책 설정은 사용자 계정에 두 정책이 모두 적용되는 경우 로그온을 일괄 처리 작업 정책 설정으로 대체합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 일괄 작업으로 로그온 거부 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
DenyLogOnAsService
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService
서비스로 로그온 거부 - 이 보안 설정은 프로세스를 서비스로 등록할 수 없는 서비스 계정을 결정합니다. 이 정책 설정은 계정이 두 정책의 적용을 받는 경우 서비스로 로그온 정책 설정을 대체합니다.
참고
이 보안 설정은 시스템, 로컬 서비스 또는 네트워크 서비스 계정에 적용되지 않습니다. 기본값: 없음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 서비스로 로그온 거부 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
DenyRemoteDesktopServicesLogOn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn
이 사용자 권한은 원격 데스크톱 서비스 클라이언트로 로그온할 수 없는 사용자 및 그룹을 결정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 원격 데스크톱 서비스를 통한 로그온 거부 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
EnableDelegation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation
이 사용자 권한은 사용자 또는 컴퓨터 개체에서 위임에 대해 신뢰할 수 있는 설정을 설정할 수 있는 사용자를 결정합니다. 이 권한이 부여된 사용자 또는 개체는 사용자 또는 컴퓨터 개체의 계정 컨트롤 플래그에 대한 쓰기 권한이 있어야 합니다. 위임을 위해 신뢰할 수 있는 컴퓨터(또는 사용자 컨텍스트에서)에서 실행되는 서버 프로세스는 클라이언트 계정에 계정 제어 플래그를 위임할 수 없는 한 클라이언트의 위임된 자격 증명을 사용하여 다른 컴퓨터의 리소스에 액세스할 수 있습니다.
주의
이 사용자 권한 또는 위임에 대한 신뢰할 수 있는 설정의 오용은 들어오는 클라이언트를 가장하고 자격 증명을 사용하여 네트워크 리소스에 액세스하는 트로이 목마 프로그램을 사용하여 네트워크를 정교한 공격에 취약하게 만들 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 위임 시 컴퓨터 및 사용자 계정을 신뢰할 수 있도록 설정 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
GenerateSecurityAudits
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits
이 사용자 권한은 프로세스에서 보안 로그에 항목을 추가하는 데 사용할 수 있는 계정을 결정합니다. 보안 로그는 권한 없는 시스템 액세스를 추적하는 데 사용됩니다. 이 사용자 권한을 오용하면 많은 감사 이벤트가 생성되어 공격의 증거를 숨기거나 서비스 거부가 발생할 수 있습니다. 보안 감사를 기록할 수 없는 경우 보안 정책 설정을 사용하도록 설정하면 즉시 시스템을 종료합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 보안 감사 생성 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ImpersonateClient
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient
사용자에게 이 사용자 권한을 할당하면 해당 사용자를 대신하여 실행되는 프로그램이 클라이언트를 가장할 수 있습니다. 이러한 종류의 가장에 대해 이 사용자에게 권한을 요구하면 권한이 없는 사용자가 클라이언트가 만든 서비스에 연결(예: RPC(원격 프로시저 호출) 또는 명명된 파이프)을 연결하도록 설득한 다음, 해당 클라이언트를 가장하여 권한 없는 사용자의 권한을 관리자 또는 시스템 수준으로 승격할 수 있습니다.
주의
이 사용자 권한을 할당하는 것은 보안 위험이 될 수 있습니다. 신뢰할 수 있는 사용자에게만 이 사용자 권한을 할당합니다.
참고
기본적으로 Service Control Manager에서 시작하는 서비스에는 기본 제공 서비스 그룹이 액세스 토큰에 추가됩니다. COM 인프라에서 시작되고 특정 계정으로 실행되도록 구성된 COM(구성 요소 개체 모델) 서버에도 해당 액세스 토큰에 서비스 그룹이 추가됩니다. 따라서 이러한 서비스는 이 사용자가 시작될 때 바로 이 사용자를 얻습니다. 또한 사용자는 다음 조건이 있는 경우 액세스 토큰을 가장할 수도 있습니다. 1) 가장되는 액세스 토큰은 이 사용자를 위한 것입니다. 2) 이 로그온 세션에서 사용자는 명시적 자격 증명을 사용하여 네트워크에 로그온하여 액세스 토큰을 만들었습니다. 3) 요청된 수준이 Anonymous 또는 Identify와 같은 가장보다 작습니다. 이러한 요인으로 인해 사용자는 일반적으로 이 사용자 권한이 필요하지 않습니다.
Warning
이 설정을 사용하도록 설정하면 이전에 가장 권한이 있었던 프로그램이 손실될 수 있으며 실행되지 않을 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 인증 후 클라이언트 가장 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
IncreaseProcessWorkingSet
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet
프로세스 작업 집합을 늘입니다. 이 권한은 프로세스의 작업 집합 크기를 늘리거나 줄일 수 있는 사용자 계정을 결정합니다. 프로세스의 작업 집합은 현재 실제 RAM 메모리의 프로세스에 표시되는 메모리 페이지 집합입니다. 이러한 페이지는 상주하며 애플리케이션에서 페이지 오류를 트리거하지 않고 사용할 수 있습니다. 최소 및 최대 작업 집합 크기는 프로세스의 가상 메모리 페이징 동작에 영향을 줍니다.
Warning
프로세스의 작업 집합 크기를 늘리면 시스템의 나머지 부분에 사용할 수 있는 실제 메모리의 양이 줄어듭니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 프로세스 작업 집합 늘리기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
IncreaseSchedulingPriority
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority
이 사용자 권한은 다른 프로세스에 대한 쓰기 속성 액세스 권한이 있는 프로세스를 사용하여 다른 프로세스에 할당된 실행 우선 순위를 높일 수 있는 계정을 결정합니다. 이 권한이 있는 사용자는 Task Manager 사용자 인터페이스를 통해 프로세스의 예약 우선 순위를 변경할 수 있습니다.
Warning
예약 우선 순위 증가 사용자 권한에서 Window Manager\Window Manager 그룹을 제거하면 특정 애플리케이션 및 컴퓨터가 제대로 작동하지 않습니다. 특히 INK 작업 영역은 Windows 10, 버전 1903 이상을 실행하고 Intel GFX 드라이버를 사용하는 UMA(통합 메모리 아키텍처) 노트북 및 데스크톱 컴퓨터에서 제대로 작동하지 않습니다.
영향을 받는 컴퓨터에서 사용자가 Microsoft Edge, Microsoft PowerPoint 또는 Microsoft OneNote에서 사용하는 작업 영역과 같은 INK 작업 영역을 그릴 때 디스플레이가 깜박입니다. 수동 입력 관련 프로세스가 반복적으로 Real-Time 우선 순위를 사용하려고 하지만 사용 권한이 거부되기 때문에 깜박임이 발생합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 예약 우선 순위 높이기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
LoadUnloadDeviceDrivers
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers
이 사용자 권한은 디바이스 드라이버 또는 기타 코드를 커널 모드로 동적으로 로드하고 언로드할 수 있는 사용자를 결정합니다. 이 사용자 권한은 플러그 앤 플레이 디바이스 드라이버에는 적용되지 않습니다. 다른 사용자에게 이 권한을 할당하지 않는 것이 좋습니다.
주의
이 사용자 권한을 할당하는 것은 보안 위험이 될 수 있습니다. 시스템을 인수하지 않으려는 사용자, 그룹 또는 프로세스에 이 사용자 권한을 할당하지 마세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 장치 드라이버 로드 및 언로드 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
LockMemory
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory
이 사용자 권한은 프로세스를 사용하여 데이터를 실제 메모리에 유지할 수 있는 계정을 결정하므로 시스템이 디스크의 가상 메모리에 데이터를 페이징하지 못하게 합니다. 이 권한을 행사하면 사용 가능한 RAM(임의 액세스 메모리)의 양을 줄임으로써 시스템 성능에 크게 영향을 줄 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 메모리의 페이지 잠금 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
LogOnAsBatchJob
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob
이 보안 설정을 사용하면 사용자가 일괄 처리 큐 기능을 통해 로그온할 수 있으며 이전 버전의 Windows와의 호환성을 위해서만 제공됩니다. 예를 들어 사용자가 작업 스케줄러를 통해 작업을 제출하면 작업 스케줄러는 해당 사용자를 대화형 사용자가 아닌 일괄 처리 사용자로 기록합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 일괄 작업으로 로그온 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
LogOnAsService
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService
이 보안 설정을 사용하면 보안 주체가 서비스로 로그온할 수 있습니다. 서비스는 서비스로 로그온할 수 있는 기본 제공 권한이 있는 로컬 시스템, 로컬 서비스 또는 네트워크 서비스 계정에서 실행되도록 구성할 수 있습니다. 별도의 사용자 계정으로 실행되는 모든 서비스에는 권한이 할당되어야 합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 서비스로 로그온 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ManageAuditingAndSecurityLog
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog
이 사용자 권한은 파일, Active Directory 개체 및 레지스트리 키와 같은 개별 리소스에 대한 개체 액세스 감사 옵션을 지정할 수 있는 사용자를 결정합니다. 이 보안 설정은 사용자가 일반적으로 파일 및 개체 액세스 감사를 사용하도록 설정할 수 없습니다. 이벤트 뷰어 보안 로그에서 감사된 이벤트를 볼 수 있습니다. 이 권한이 있는 사용자는 보안 로그를 보고 지울 수도 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 감사 및 보안 로그 관리 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ManageVolume
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume
이 사용자 권한은 원격 조각 모음과 같은 볼륨에서 유지 관리 작업을 실행할 수 있는 사용자 및 그룹을 결정합니다. 이 사용자 권한을 할당할 때는 주의해야 합니다. 이 사용자 권한이 있는 사용자는 디스크를 탐색하고 다른 데이터가 포함된 메모리로 파일을 확장할 수 있습니다. 확장 파일을 열면 사용자가 획득한 데이터를 읽고 수정할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 볼륨 유지 관리 작업 수행 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ModifyFirmwareEnvironment
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment
이 사용자 권한은 펌웨어 환경 값을 수정할 수 있는 사용자를 결정합니다. 펌웨어 환경 변수는 x86 기반이 아닌 컴퓨터의 비휘발성 RAM에 저장된 설정입니다. 설정의 효과는 프로세서에 따라 달라집니다. x86 기반 컴퓨터에서 이 사용자 권한을 할당하여 수정할 수 있는 유일한 펌웨어 환경 값은 시스템에서만 수정해야 하는 마지막 알려진 양면 구성 설정입니다. Itanium 기반 컴퓨터에서 부팅 정보는 비휘발성 RAM에 저장됩니다. bootcfg.exe 실행하고 시스템 속성의 시작 및 복구에서 기본 운영 체제 설정을 변경하려면 사용자에게 이 사용자에게 권한이 할당되어야 합니다. 모든 컴퓨터에서 이 사용자 권한은 Windows를 설치하거나 업그레이드하는 데 필요합니다.
참고
이 보안 설정은 시스템 속성의 고급 탭에 표시되는 시스템 환경 변수 및 사용자 환경 변수를 수정할 수 있는 사용자에 영향을 주지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 펌웨어 환경 값 수정 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ModifyObjectLabel
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel
이 사용자 권한은 파일, 레지스트리 키 또는 다른 사용자가 소유한 프로세스와 같은 개체의 무결성 레이블을 수정할 수 있는 사용자 계정을 결정합니다. 사용자 계정으로 실행되는 프로세스는 이 권한 없이 해당 사용자가 소유한 개체의 레이블을 더 낮은 수준으로 수정할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 개체 레이블 수정 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ProfileSingleProcess
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess
이 사용자 권한은 성능 모니터링 도구를 사용하여 시스템 프로세스의 성능을 모니터링할 수 있는 사용자를 결정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 단일 프로세스 프로필 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ProfileSystemPerformance
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance
이 보안 설정은 성능 모니터링 도구를 사용하여 시스템 프로세스의 성능을 모니터링할 수 있는 사용자를 결정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 시스템 성능 프로필 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
RemoteShutdown
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown
이 사용자 권한은 네트워크의 원격 위치에서 컴퓨터를 종료할 수 있는 사용자를 결정합니다. 이 사용자 권한이 잘못되면 서비스 거부가 발생할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 원격 시스템에서 강제 종료 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ReplaceProcessLevelToken
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken
이 보안 설정은 한 서비스가 다른 서비스를 시작할 수 있도록 CreateProcessAsUser() API(애플리케이션 프로그래밍 인터페이스)를 호출할 수 있는 사용자 계정을 결정합니다. 이 사용자 권한을 사용하는 프로세스의 예는 작업 스케줄러입니다. 작업 스케줄러에 대한 자세한 내용은 작업 스케줄러 개요를 참조하세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 프로세스 수준 토큰 바꾸기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
RestoreFilesAndDirectories
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories
이 사용자 권한은 백업된 파일 및 디렉터리를 복원할 때 파일, 디렉터리, 레지스트리 및 기타 영구 개체 권한을 무시할 수 있는 사용자를 결정하고 유효한 보안 주체를 개체의 소유자로 설정할 수 있는 사용자를 결정합니다. 특히 이 사용자 권한은 시스템의 모든 파일 및 폴더에 대해 해당 사용자 또는 그룹에 다음 권한을 부여하는 것과 비슷합니다. 폴더 트래버스/파일 실행, 쓰기.
주의
이 사용자 권한을 할당하는 것은 보안 위험이 될 수 있습니다. 이 사용자 권한이 있는 사용자는 레지스트리 설정을 덮어쓰고, 데이터를 숨기고, 시스템 개체의 소유권을 얻을 수 있으므로 신뢰할 수 있는 사용자에게만 이 사용자 권한을 할당합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 파일 및 디렉터리 복원 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
ShutDownTheSystem
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem
이 보안 설정은 컴퓨터에 로컬로 로그온한 사용자가 종료 명령을 사용하여 운영 체제를 종료할 수 있는 사용자를 결정합니다. 이 사용자 권한이 잘못되면 서비스 거부가 발생할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 시스템 종료 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
TakeOwnership
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership
이 사용자 권한은 Active Directory 개체, 파일 및 폴더, 프린터, 레지스트리 키, 프로세스 및 스레드를 포함하여 시스템에서 보안 개체의 소유권을 가져올 수 있는 사용자를 결정합니다.
주의
이 사용자 권한을 할당하는 것은 보안 위험이 될 수 있습니다. 개체 소유자는 개체를 완전히 제어할 수 있으므로 신뢰할 수 있는 사용자에게만 이 사용자 권한을 할당합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 파일 또는 기타 개체의 소유권 가져오기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 |
관련 문서
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기