| [ windows ] in KIDS 글 쓴 이(By): madjean (발에쥐난쥐) 날 짜 (Date): 1999년 11월 2일 화요일 오후 12시 03분 33초 제 목(Title): Re: NT의 directory를 windows 95/98에서 공 나우에서 퍼 왔심다. 기본적으로 Explorer(탐새끼)에서 설정을 하고, 로그인 계정을 만드는 점에서 win9x랑 틀립니다. 1. Permission 을 통한 Security설정은 Windows NT Explorer을 통해서 한다. 이를 통해 File이나 Directory 그리고 Printer에 대한 이용허가를 통제 할 수 있다. NT Server tool을 win95에 설치하면 User Manager for Domain과 Server Manager가 설치되는데, 여기서도 Permission을 통한 Security설정은 NT Explorer를 통해 이루어진다. 각 Permission설정이 된 후 이것이 유효해 지는 시점은 해당 사용자가 logoff 후 다시 logon 할 때이다. 2. Permission에는 Shared Folder(공유폴더)와 NTFS permission이 있다. Share Folder permission은 Remote access에 관한 Permission을, NTFS Permission은 Remote access와 Local Access 둘다의 Permission에 관하여 설정된다. 하지만 Share Folder Permission에는 No access 그리고 NTFS Permission에는 Read가 되어 있는 경우에는 Remote Access 할 시는 No access가 해당되지만, Local logon 해서 Access 할 시는 Read가 가능해진다. Shared Folder Permission 에서는; ① Directory level에서만 보안이 가능하며, file level에서는 안된다. ② FAT Volume에서는 Shared folder방식만이 유효하다. ③ Full Control>Change>Read><No Access의 4 종류가 있다. ④ 여기서 Change란 Read,Write,Delete, Attribute(속성) Change를 말한다. ⑤ Remote logon 하는 사람에게만 해당된다. Local logon 하는 사람에게는 해당 컴퓨터Harddisk를 직접 access하기 때문에 Shared Folder방식에 의한 Security는 소용이 없게된다. ⑥ 한 사용자가 2개 이상의 그룹에 포함되어 있을때 그 중 한그룹이 특정 Shared Folder에 No Access 로 되어 있으면 그 사용자는 해당 folder를 접속할 수 없다. ⑦ 공유이름은 12자 이내 이다. ⑧ Admin$등 과 같이 마지막에 $가 붙은 Share명은 Hidden 됨으로 관리용으로 쓸수 있다.(여기서 Hidden이란 network logon사용자/remote logon 사용자들에겐 해당 share 명이 보이지 않으나 Server manager에서는 보인다는 것을 의미한다.) ⑨ 한개의 folder에 한개 이상의 Share명을 줄수 있다. ⑩ User Manager for Domain에서 Guest 계정이 Enable되어 있으면 Shared Folder중 everyone 이 default로 Full control을 가지고 포함됨으로 이를 반드시 제거하여 보안을 강화해야 한다. NTFS Permission에서는 ① NTFS volume에서만 가능하며, folder및 file까지 보안 설정이 가능하다. ② Local Logon사용자에게도 본 Security가 적용된다. ③ NTFS Permission은 일반 허가와 표준허가로 구별된다. ④ NTFS 일반허가: Read(R):Write(W):Executive(X):Delete(D):Change Permission(P):Take Ownership(O) ⑤ NTFS 표준허가: No Access:List:Read:Add:Add & Read:Change:Full Control ⑥ Special Access란 Change Permission 과 Take ownership을 말한다. ⑦ 몇가지 규칙이 있다. 가) No Access는 모든 허가에 우선한다. 이것은 Shared Folder와 같다. 나) File에 대한 허가는 Folder에 우선한다. 다) 이동 복사 시에는 이동/복사시의 속성규칙을 따른다. 라) Shared Folder permission과 NTFS permission이 중첩될 경우엔 가장 덜 제한적인 것이 유효하다 3. Home Folder를 만들려면 FAT과 NTFS Volume에 따라 다소 틀리다. \\server_name\Users\%username%을 User Manager for Domain/Profile /Home Directory to에 UNC(Universal Naming Convention)로 설정한다. ① NTFS에 Home Folder를 만들 경우엔 Users Folder를 우선 사용자 group에게 공유하여야 한다.개인 home folder에는 자동으로 각 사용자에게 full control 권한이 주어진다. ② FAT Volume에서는 User 폴더는 공유하지 않으며 홈 폴더를 미리 만들어 놓고 그 밖에서 공유하게 하여야 한다. 이것이 최상이다. 4. Local Logon시 Permission이 중복될 경우엔 least restrictive 가 적용된다. 그 No access는 예외이다. 예를 들어 한 Account가 3 개의 그룹에 속해 있고 특정 Folder에 대해 각 그룹이 read, add, change 권한을 가지고 있다면 해당 user 는 그 folder에 대하여 가장 덜 제한적인 권한인 Change 권한을 가지게 되는 것이다. 5. Remote Logon 시 Shared Folder Permission과 NTFS Permission이 결합될 경우엔 Most restrictive (가장 제한적인) 것이 유효하다. 6. NTFS에서의 특정 Folder에 Special Access (none)(all) 일 경우, 이는 Existing file에 대해서는 No access이며, 여기에 새로이 만들어지는 file 에는 Full control을 가진다는 뜻이다. 7. NT wks에서 자원을 share해 줄려면 Administrator이거나 Power User Group이어야 한다. 8.NTwks에서의 자원보호를 위해선 Service service를 중단하거나, IP forwarding기능을disable하는 것이 좋다. ----w-w---- ( " ) (O O) what we call human nature in actuality v-v is human habit |