Access Control 보안 그룹을 사용하는 방법

SID(보안 식별자)는 사용자 또는 그룹이 보안 목적으로 사용될 때 사용자 또는 보안 그룹의 개체 식별자입니다. 사용자 또는 그룹의 이름은 시스템 내에서 고유 식별자로 사용되지 않습니다. SID는 사용자 개체 및 보안 그룹 개체의 objectSid 특성에 저장됩니다. Active Directory 서버는 사용자 또는 그룹을 만들 때 objectSid 를 생성합니다. 시스템은 SID가 포리스트에서 고유하도록 합니다. objectGuid는 사용자, 그룹 또는 다른 디렉터리 개체의 고유 식별자입니다. 사용자 또는 그룹이 다른 도메인으로 이동되면 SID가 변경됩니다. objectGuid 는 동일하게 유지됩니다.

사용자 또는 그룹에 프린터 또는 파일 공유와 같은 리소스에 액세스할 수 있는 권한이 부여되면 사용자 또는 그룹의 SID가 리소스의 DACL(임의 액세스 제어 목록)에서 부여된 권한을 정의하는 ACE(액세스 제어 항목)에 추가됩니다. Active Directory Domain Services 각 개체에는 해당 개체의 특정 개체 또는 특성에 대한 액세스를 정의하는 DACL을 저장하는 nTSecurityDescriptor 특성이 있습니다. Active Directory Domain Services 개체에 대한 액세스 제어를 설정하는 방법에 대한 자세한 내용은 Active Directory Domain Services 개체에 대한 액세스 제어를 참조하세요.

사용자가 Windows 2000 도메인에 로그온하면 운영 체제에서 액세스 토큰을 생성합니다. 이 액세스 토큰은 사용자가 액세스할 수 있는 리소스를 결정하는 데 사용됩니다. 사용자 액세스 토큰에는 다음 데이터가 포함됩니다.

• 사용자 SID.
• 사용자가 구성원인 모든 전역 및 범용 보안 그룹의 SID입니다.
• 중첩된 모든 전역 및 범용 보안 그룹의 SID입니다.

이 사용자를 대신하여 실행되는 모든 프로세스에는 이 액세스 토큰의 복사본이 있습니다.

사용자가 컴퓨터의 리소스에 액세스하려고 하면 사용자가 리소스에 액세스하는 서비스는 사용자 로그온 시 생성된 액세스 토큰을 기반으로 새 액세스 토큰을 만들어 사용자를 가장합니다. 이 새 액세스 토큰에는 다음 SID도 포함됩니다.

• 사용자가 구성원인 대상 도메인의 모든 도메인 로컬 그룹에 대한 SID입니다.
• 사용자가 구성원인 대상 컴퓨터의 모든 컴퓨터 로컬 그룹에 대한 SID입니다.

서비스는 이 새 액세스 토큰을 사용하여 리소스에 대한 액세스를 평가합니다. 액세스 토큰의 SID가 DACL의 모든 ACE에 표시되는 경우 서비스는 사용자에게 해당 ACE에 지정된 권한을 부여합니다.