|
|
|
Windows 권한은 개별 사용자 계정이나 그룹에 할당할 수 있습니다. 관리자는 chusr 또는 editusr 명령을 사용하여 사용자에게 권한을 할당하거나, chgrp 또는 editgrp 명령을 사용하여 그룹에게 권한을 할당할 수 있습니다. 그룹에 추가된 사용자는 그룹에게 할당된 모든 권한을 자동으로 얻게 됩니다.
권한 또는 사용자 권한의 이름은 목록에 나타난 이름과 동일한 이름을 사용할 수 있으며, 이름 앞에는 Se를 추가하고 이름 끝에는 Privilege를 추가할 수 있습니다. 그러나 BatchLogon, InteractiveLogon, NetworkLogon 및 ServiceLogon의 경우에는 Privilege 대신 Right를 추가합니다.
다음은 Windows에서 사용 가능한 권한입니다.
|
권한 |
기본 할당 |
설명 |
|---|---|---|
|
AssignPrimaryToken |
없음 |
사용자가 프로세스의 보안 액세스 토큰을 수정할 수 있습니다. |
|
Audit |
없음 |
보안 감사를 생성합니다. |
|
Backup |
관리자 백업 운영자 |
사용자가 파일과 디렉터리를 백업할 수 있습니다. 이 권한은 모든 파일 및 디렉터리 권한을 대체합니다. |
|
BatchLogon |
없음 |
사용자가 배치 작업으로 로그인할 수 있습니다. |
|
ChangeNotify |
모든 사용자 |
일반적으로 파일과 하위 디렉터리에 대한 권한은 하향식으로 적용됩니다. 다시 말하면, 특정 디렉터리에 대한 권한이 없는 사용자는 해당 디렉터리 아래의 하위 디렉터리를 액세스할 수 있는 권한도 가지지 않습니다. 이 권한으로 사용자는 상위 디렉터리에 대한 권한이 없더라도 하위 디렉터리를 액세스할 수 있습니다. |
|
CreatePagefile |
없음 |
사용자가 페이지 파일을 작성할 수 있습니다. 보안은 다음 키에 대한 사용자의 액세스에 의해 결정됩니다. \CurrentControlSet\Control\ |
|
CreatePermanent |
없음 |
사용자가 \\Device와 같은 특수 영구 개체를 작성할 수 있습니다. |
|
CreateToken |
없음 |
토큰 개체를 작성합니다. 로컬 보안 기관(LSA)만 이 작업을 수행할 수 있습니다. 로컬 보안 기관(LSA)은 사용자가 시스템을 액세스할 수 있는 권한을 가지고 있는지 확인합니다. 이 권한의 사용을 감사할 수 없습니다. C2 인증의 경우 어떤 사용자에게도 할당하지 않을 것을 권장합니다. |
|
Debug |
관리자 |
스레드와 같은 개체 또는 프로그램을 디버그합니다. 이 권한을 감사할 수 없습니다. C2 인증의 경우 시스템 관리자를 포함한 어떤 사용자에게도 할당하지 않을 것을 권장합니다. |
|
IncreaseBasePriority |
관리자 |
사용자가 프로세스의 실행 우선 순위를 높일 수 있습니다. |
|
IncreaseQuota |
없음 |
사용자가 개체 할당량을 증가시킬 수 있습니다. |
|
InteractiveLogon |
대부분의 그룹 |
사용자가 대화식으로 로그인할 수 있습니다. |
|
LoadDriver |
관리자 |
사용자가 장치 드라이버를 설치하고 제거할 수 있습니다. |
|
LockMemory |
없음 |
사용자가 PAGEFILE.SYS와 같은 백업 저장 파일에 페이지가 자동으로 백업될 수 없도록 컴퓨터의 메모리에서 페이지를 잠글 수 있습니다. |
|
MachineAccount |
없음 |
사용자가 도메인에 새 컴퓨터를 추가할 수 있습니다. |
|
NetworkLogon |
모든 사용자 |
사용자가 네트워크의 모든 장소에서 컴퓨터에 연결할 수 있습니다. 이것은 사용자가 자신의 컴퓨터에 로그인하기 위해 정해진 위치나 터미널에 없어도 된다는 의미입니다. |
|
ProfileSingleProcess |
관리자 |
사용자가 단일 프로세스의 성능을 모니터하기 위해 성능 모니터 도구를 사용할 수 있습니다. |
|
RemoteShutdownPrivilege |
관리자 |
사용자가 Windows 시스템을 원격으로 종료할 수 있습니다. |
|
Restore |
관리자 |
사용자가 백업 파일 및 디렉터리를 복원할 수 있습니다. 이 권한은 모든 파일 및 디렉터리 권한을 대체합니다. |
|
Security |
관리자 |
사용자가 감사할 리소스 액세스(예: 파일 액세스)의 유형을 지정하고 보안 로그를 보거나 삭제할 수 있습니다. 참고: 이 권한으로는 사용자가 Microsoft의 사용자 관리자에 있는 정책 메뉴에서 감사 명령을 사용하여 시스템 감사 정책을 설정할 수 없습니다. 관리자는 항상 보안 로그를 보고 삭제할 수 있습니다. |
|
ServiceLogon |
없음 |
프로세스를 서비스로 시스템에 등록할 수 있습니다. |
|
Shutdown |
관리자 |
사용자가 시스템 콘솔에서 시스템을 종료할 수 있습니다. |
|
SystemEnvironment |
관리자 |
사용자가 시스템 환경 변수를 수정할 수 있습니다. 이렇게 하면 사용자는 자신의 워크스테이션에서 시스템 환경을 설정하고 동일한 워크스테이션에서 작업하는 다른 모든 사용자가 동일한 설정을 사용할 수 있습니다. |
|
SystemProfile |
관리자 |
사용자가 시스템에서 프로필링(성능 샘플링)을 수행할 수 있습니다. |
|
SystemTime |
관리자 |
사용자가 컴퓨터 시계의 시간을 설정할 수 있습니다. |
|
TakeOwnership |
관리자 |
사용자가 컴퓨터의 파일, 디렉터리, 프린터 및 기타 개체의 소유자가 될 수 있습니다. 이 권한은 개체를 보호하는 모든 권한을 대체합니다. |
|
Tcb |
없음 |
트러스트되는 안전한 운영 체제의 일부로 프로세스를 실행할 수 있습니다. 일부 하위 시스템에 이 권한이 부여됩니다. |
| Copyright © 2011 CA. All rights reserved. | 이 주제에 대해 CA Technologies에 전자 메일 보내기 |