새 디렉터리 개체에서 보안 설명자를 설정하는 방법

Active Directory Domain Services 새 개체를 만들 때 명시적으로 보안 설명자를 만든 다음 해당 보안 설명자를 개체의 nTSecurityDescriptor 속성으로 설정할 수 있습니다. 자세한 내용은 새 디렉터리 개체에 대한 보안 설명자 만들기를 참조하세요.

Active Directory Domain Services 다음 규칙을 사용하여 새 개체의 보안 설명자에서 DACL을 설정합니다.

• 개체를 만들 때 보안 설명자를 명시적으로 지정하는 경우 보안 설명자의 컨트롤 비트에 SE_DACL_PROTECTED 비트가 설정되지 않는 한 시스템은 부모 개체의 상속 가능한 모든 ACE를 지정된 DACL에 병합합니다.
• 보안 설명자를 지정하지 않으면 시스템에서는 부모 개체의 상속 가능한 ACE를 개체의 클래스에 대한 classSchema 개체의 기본 DACL로 병합하여 개체의 DACL을 빌드합니다.
• 스키마에 기본 DACL이 없는 경우 개체의 DACL은 작성자의 기본 또는 가장 토큰에서 기본 DACL입니다.
• 지정된 DACL, 상속된 DACL 또는 기본 DACL이 없는 경우 시스템은 DACL 없이 개체를 만들어 모든 사람이 개체에 대한 모든 권한을 부여할 수 있도록 합니다.

시스템은 유사한 알고리즘을 사용하여 디렉터리 서비스 개체에 대한 SACL을 빌드합니다.

새 개체의 보안 설명자에 있는 소유자 및 기본 그룹은 개체를 만들 때 nTSecurityDescriptor 속성에 지정한 값으로 설정됩니다. 이러한 값을 설정하지 않으면 Active Directory Domain Services 다음 표에 나열된 규칙을 사용하여 설정합니다.

규칙	설명
소유자	기본 보안 설명자의 소유자는 만들기 프로세스의 기본 또는 가장 토큰에서 기본 소유자 SID로 설정됩니다. 대부분의 사용자의 경우 기본 소유자 SID는 사용자의 계정을 식별하는 SID와 동일합니다. 기본 제공 관리자 그룹의 구성원인 사용자의 경우 시스템은 액세스 토큰의 기본 소유자 SID를 자동으로 관리자 그룹에 설정합니다. 따라서 관리자 그룹의 멤버가 만든 개체는 일반적으로 관리자 그룹이 소유합니다. 액세스 토큰에서 기본 소유자를 얻거나 설정하려면 TOKEN_OWNER 구조를 사용하여 GetTokenInformation 또는 SetTokenInformation 함수를 호출합니다.
기본 그룹	기본 보안 설명자의 기본 그룹은 작성자의 기본 또는 가장 토큰에서 기본 기본 그룹으로 설정됩니다. 기본 그룹은 Active Directory Domain Services 컨텍스트에서 사용되지 않습니다.

 

ACE 상속에 대한 자세한 내용은 상속 및 관리 위임을 참조하세요.

스키마의 기본 보안 설명자에 대한 자세한 내용은 기본 보안 설명자를 참조하세요.

classSchema 개체에 대한 자세한 내용은 Active Directory 스키마를 참조하세요.