상속 및 관리 위임
Active Directory Domain Services 트리의 상위 수준에서 관리 작업을 수행할 수 있도록 개체 트리의 사용 권한 상속을 지원합니다. 이렇게 하면 관리자가 루트 근처의 개체(예: 도메인 및 조직 구성 단위)에 상속 가능한 권한을 설정하고 해당 권한을 트리의 다양한 개체에 배포할 수 있습니다.
상속은 ACE별로 설정할 수 있습니다. 다음 표에서는 ACE의 상속을 제어하기 위해 AceFlags 에 지정할 수 있는 플래그를 나열합니다.
| 플래그 | 설명 |
|---|---|
| ADS_ACEFLAG_INHERIT_ACE |
ACE가 트리에서 상속되도록 합니다. |
| ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
ACE가 트리에서 한 수준 아래로만 상속되도록 합니다. |
| ADS_ACEFLAG_INHERIT_ONLY_ACE |
ACE가 지정된 개체에서 무시되고, 상속된 경우에만 상속되며, 상속된 위치에서 유효합니다. |
상속을 설정하는 것 외에도 Active Directory Domain Services 개체별 상속을 지원합니다. 이렇게 하면 상속 가능한 ACE를 트리 아래로 상속할 수 있지만 특정 유형의 개체에만 적용할 수 있습니다. 이는 관리를 위임하는 데 매우 유용합니다. 예를 들어 조직 구성 단위에서 개체별 상속 가능한 ACE를 설정하는 데 사용할 수 있습니다. 이를 통해 그룹은 조직 구성 단위의 모든 사용자 개체를 완전히 제어할 수 있지만 다른 것은 없습니다. 따라서 해당 조직 구성 단위의 사용자 관리는 해당 그룹의 사용자에게 위임됩니다.
보안 그룹을 사용하여 서비스 관리 위임
보안 그룹을 사용하여 애플리케이션 서버와 연결된 관리 역할을 정의하고 위임합니다. 예를 들어 서비스가 MyService Administrators 그룹과 연결될 수 있습니다. MyService 관리자로 식별되는 사용자는 MyService Administrators 그룹에 추가됩니다. MyService에 대한 설치 프로그램은 디렉터리에 ACL을 설정하여 MyService 관리자가 MyService 관련 특성을 읽거나 쓰거나 MyService 관련 개체를 만들 수 있는 충분한 권한을 사용하도록 설정할 수 있습니다.
서비스를 실행하는 컴퓨터에 대한 보안 그룹의 역할
보안 그룹을 사용하여 디렉터리의 서비스 개체에 대한 액세스 권한이 부여된 컴퓨터 집합을 정의합니다. 예를 들어 서비스가 MyService 서버 그룹과 연결될 수 있습니다. MyService 서버를 실행하는 모든 컴퓨터가 MyService 서버 그룹에 추가되고 이 그룹에 MyService 서버가 데이터를 읽고 쓰는 데 필요한 디렉터리의 일부에 대한 액세스 권한을 부여할 수 있습니다. MyService에 대한 설치 프로그램은 디렉터리에 ACL을 설정하여 MyService 서버에서 MyService 관련 특성을 읽거나 쓰거나 MyService 관련 개체를 만들 수 있는 충분한 권한을 사용하도록 설정할 수 있습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기