Windows용 끝점 관리 안내서 › 계정 보호 › 사용자 가장 보호 › CA ControlMinder이 사용자 가장 요청에 응답하는 방식

CA ControlMinder이 사용자 가장 요청에 응답하는 방식

SURROGATE 클래스의 각 레코드는 가장 시도로부터 사용자를 보호하는 제한을 정의합니다. CA ControlMinder은 가장 요청을 권한 있는 사용자만 액세스할 수 있는 추상 개체로 간주합니다. SURROGATE 클래스의 레코드는 대리(가장)로부터 보호되는 각 사용자 또는 그룹을 나타냅니다.

사용자 또는 그룹이 다른 사용자 또는 그룹으로 가장하기 위한 요청을 하면 CA ControlMinder은 다음을 수행합니다.

1. 사용자 또는 그룹에 대한 SURROGATE 레코드의 액세스 권한을 검사합니다. SURROGATE 레코드에 따라 다음 중 하나가 발생합니다.
   • 사용자 또는 그룹의 SURROGATE 레코드가 가장을 명시적으로 허용 또는 거부합니다.

     CA ControlMinder은 SURROGATE 레코드의 액세스 권한을 사용하여 가장 요청을 허용 또는 거부합니다.

   • 사용자 또는 그룹에 SURROGATE 레코드가 없습니다.

     프로세스가 2 단계로 이동합니다.

2. 다음과 같이 사용자 또는 그룹에 대한 기본 SURROGATE 레코드의 액세스 권한을 검사합니다.
   • 요청자가 사용자인 경우 CA ControlMinder은 사용자에게 USER._default SURROGATE 레코드에 정의된 액세스 유형을 부여합니다.
   • 요청자가 그룹인 경우 CA ControlMinder은 사용자에게 GROUP._default SURROGATE 레코드에 정의된 액세스 유형을 부여합니다.

     참고: USER._default, GROUP._default, _default SURROGATE 레코드의 기본 액세스 권한은 읽기입니다. 즉, 사용자 또는 그룹에 대한 SURROGATE 레코드가 가장 요청을 금지하지 않는 한, CA ControlMinder이 사용자 또는 그룹으로 가장하기 위한 모든 요청을 허용합니다. 이 동작을 변경하려면 USER._default 및 GROUP._default 레코드의 액세스 권한을 변경하십시오. 또한 _default SURROGATE 레코드의 액세스 권한을 변경하여 사용자 및 그룹에 동일한 기본값을 설정할 수도 있습니다.