DetailPage-MSS-KB

기술 자료

기술 자료: 922836 - 마지막 검토: 2007년 10월 11일 목요일 - 수정: 3.4

 

이 페이지에서

요약

Microsoft Windows Server 2000 및 Microsoft Windows Server 2003 Active Directory 디렉터리 서비스, 인증된 사용자 특성을 읽는 것을 방지하기 위해 어렵습니다. 일반적으로 사용자가 특성 또는 속성 집합에 대한 READ_PROPERTY 권한을 요청하는 경우 읽기 액세스 권한이 부여됩니다. Active Directory의 기본 보안 인증된 사용자가 모든 특성에 대한 읽기 권한을 갖도록 설정됩니다. 이 문서에서는 Windows Server 2003 서비스 팩 1 (SP1) 에서 특성에 대한 읽기 액세스를 방지하는 방법에 대해 설명합니다.

소개

이 문서에서는 을 설명합니다.

추가 정보

Windows Server 2003 SP1 특성으로 기밀 표시 방법을 소개합니다. 이렇게 하려면 스키마 에서 searchFlags 특성의 값을 수정합니다. 특성 다양한 속성을 나타내는 여러 비트로 searchFlags 특성 값이 포함되어 있습니다. 예를 들어, 비트 1은 설정된 경우 특성이 인덱싱됩니다. 비트 7 (128) 로 기밀 특성을 지정합니다.

요구 사항 및 제약 조건

Windows Server 2003 SP1 또는 이후 버전을 실행하는 도메인 컨트롤러만 기밀 특성에 대한 읽기 액세스 검사를 적용합니다. 기밀 특성 기능은 Windows Server 2003 SP1 또는 이후 버전이 설치가 연결됩니다. 이 기능은 도메인 또는 포리스트 기능 수준을 활성화 여부에 따라 종속되지 않습니다.

다음과 같은 기밀 특성에 기능을 사용하지 마십시오.
  • 모든 Windows Server 2003 기반 도메인 컨트롤러를 Windows Server 2003 SP1 또는 이후 버전이 설치되어 있습니다.
  • 모든 Windows 2000 기반 도메인 컨트롤러는 업그레이드하거나 제거할 이미 있습니다.
다음 시나리오를 도메인 혼합되어 Windows 2000 Server 최초 릴리스 버전의 Windows Server 2003 및 Windows Server 2003 SP1을 실행하는 도메인 컨트롤러가 있는 경우 발생할 수 있습니다.
  • 무단된 클라이언트 기밀 특성 데이터 Windows 2000 Server 기반 및 Windows Server 2003 기반 도메인 컨트롤러를 쿼리하는 경우 클라이언트는 데이터를 읽을 수 있습니다.
  • Windows Server 2003 SP1 기반 도메인 컨트롤러에서 기밀 특성 데이터에 대한 무단된 클라이언트 쿼리하는 경우 클라이언트는 데이터를 읽을 수 없습니다.
기본 스키마 특성 기밀 것으로 표시할 수 없습니다. 직원 번호는 기본 스키마 특성 예입니다. 이 특성은 systemsFlags 특성 값을 0x10 (기본 스키마) 설정되어 있기 때문에 같은 기밀 표시할 수 없습니다. 자세한 내용은 기본 스키마 특성 특성인지 여부를 확인하는 방법"절과 기존 특성을 사용할 때 searchFlags 특성 값을 확인하는 방법" 절을 참조하십시오.

테스트

Active Directory 변경 및 스키마 확장을 테스트할 때와 같이 철저히 특성 변경 내용을 프로덕션 포리스트를 미러링하는 실험 환경에서 테스트하는 것이 좋습니다. 테스트 절차를 원활하게 작동하는 보장 및 문제가 발견되었습니다 도움이 됩니다.

액세스 제어 검사

Windows Server 2003 SP1을 설치한 후 Active Directory 읽기 액세스 검사를 수행한 후 Active Directory 기밀 특성에 대해 확인합니다. 기밀 특성 존재하며에 대해 이러한 특성을 READ_PROPERTY 사용 권한을 설정하면 Active Directory CONTROL_ACCESS 또한 필요한 경우 권한 특성 또는 속성 설정합니다.

참고 모든 권한 사용 권한 설정을 CONTROL_ACCESS 사용 권한만을 포함합니다.

Active Directory는 다음과 같은 경우 개체에 대한 읽기 액세스 검사를 수행합니다.
  • 때 사용자가 해당 개체를 검색 필터와 일치하는 여부를 평가합니다.
  • 때 검색 필터와 일치하는 특정 개체의 특성을 반환합니다.
기본적으로, 관리자만 CONTROL_ACCESS 모든 개체에 대한 사용 권한을 가집니다. 따라서 관리자만이 기밀 특성에 읽을 수 있습니다. 관리자는 모든 사용자 또는 모든 그룹에 이 권한을 위임할 수 있습니다.

제네릭 및 개체별 액세스 제어 항목

Active Directory의 모든 개체와 관련된 액세스 제어 정보를 가집니다. 이 정보는 보안 설명자라고 알려져 있습니다. 보안 설명자를 사용자 및 그룹을 사용할 수 있는 액세스 유형을 제어합니다. 보안 설명자 개체를 만들 때 자동으로 만들어집니다.

보안 설명자에는 사용 권한 항목 집합은 임의 액세스 제어 목록 (DACL) 이라고 합니다. 각 사용 권한 항목은 DACL에 있는 액세스 제어 항목 (ACE) 로 알려져 있습니다.

개체의 사용 권한을 부여할 또는 개체에 대한 일반 또는 개체별 액세스 제어 항목을 사용하여 기밀 특성 CONTROL_ACCESS 사용 권한을 부여할 수 있습니다. 개체에 명시적으로 스탬프 상속을 사용하여 사용 권한을 부여할 수 있습니다. 상속 컨테이너 계층에서 높은 컨테이너에 대한 상속 가능한 액세스 제어 항목을 설정할 것을 의미합니다.

제네릭 및 개체별 액세스 제어 항목을 기본적으로 같습니다. 어떤 이를 따로 설정합니다 액세스 제어 항목을 제공하는 컨트롤을 통해 상속 및 개체 액세스 통해 정도입니다. 일반 액세스 제어 항목을 전체 개체에 적용합니다. 개체별 액세스 제어 항목을 더 자세히 제어하려면 어떤 개체에 액세스 제어 항목을 상속할 제공합니다. 개체별 액세스 제어 항목을 사용할 때 특성 또는 액세스 제어 항목을 상속할 개체의 속성 집합을 지정할 수 있습니다.

기밀 특성 기능을 사용하면 사용자에게 일반 액세스 제어 항목을 할당하여 CONTROL_ACCESS 권한이 부여됩니다. 개체별 액세스 제어 엔트리를 할당하여 CONTROL_ACCESS 권한이 부여되지 않으면 사용자가 경우에만 기밀 특성에 있는 CONTROL_ACCESS 권한을 갖게 됩니다.

일반 액세스 제어 항목을 사용할 때 다음과 같은 사용 권한이 부여됩니다.
  • 모든 확장된 권한
  • 인증 수
  • 암호 변경
  • 이름으로 나타납니다.
  • 암호 다시 설정
  • 이름으로 보내기
일반 액세스 제어 항목을 사용할 때 부여된 사용 권한을 통해 전체 개체를 원하는 것보다 더 많은 액세스를 제공할 수 있습니다. 문제가 되는 경우, 액세스 제어 항목 기밀 특성에 적용되도록 개체에 대해 개체별 액세스 제어 항목을 설정할 수 있습니다. 개체별 액세스 제어 항목을 사용할 때 속성이나 액세스 제어 항목이 적용되는 속성을 제어할 수 있습니다.

Control_Access 사용 권한을 Windows Server 2003에서 사용자 인터페이스를 노출하지 않습니다. Dsacls.exe 도구를 일반 액세스 제어 항목을 할당하여 Control_Access 사용 권한을 설정할 수 있습니다. 그러나 이 도구는 개체별 액세스 제어 항목을 할당할 수 없습니다. 개체별 액세스 제어 엔트리를 할당하여 Control_Access 사용 권한을 설정할 수 있는 유일한 Ldp.exe 도구를 도구입니다.

참고액세스 제어 심층적인 논의는 이 문서에서는 다루지 않습니다. 액세스 제어에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn.microsoft.com/en-us/library/aa374860(VS.85).aspx (http://msdn.microsoft.com/en-us/library/aa374860(VS.85).aspx)
http://technet.microsoft.com/en-us/library/cc749433.aspx (http://technet.microsoft.com/en-us/library/cc749433.aspx)

상속을 사용하는 방법

대규모 도메인에서 사용자 또는 그룹에 기밀 특성이 있는 모든 개체에 대한 액세스 제어 할당하도록 수동으로 실용적이지 않습니다. 솔루션은 상속 컨테이너 계층에서 높은 상속 가능한 액세스 제어 항목을 설정할 수 있습니다. 이 액세스 제어 항목 해당 컨테이너의 모든 자식 개체에 적용됩니다.

기본적으로 모든 조직 구성 단위 (OU) 및 기본 제공 관리자 계정 제외한 모든 사용자 계정에 대한 상속을 사용할 수 있습니다. 상속을 사용할 수 있는 사용자 계정을 만들 경우 또는 기본 제공 관리자 계정을 복사하면 관리 계정을 만들 경우 이러한 계정에 대한 상속을 사용할 수 있게 합니다. 그렇지 않으면, 상속 모델을 이러한 계정에는 적용되지 않습니다.

기밀 특성 만드는 방법

  1. 같은 기밀, 표시하는 데 어떤 특성을 결정하는 또는 기밀 만들려는 특성을 추가하십시오.
  2. 특성 데이터를 사용자가 볼 수 있도록 적절한 사용자를 Control_Access 권한을 부여하십시오.
기밀 특성 만들려면 Ldp.exe 도구 및 Adsiedit.msc 도구를 같은 도구는 사용할 수 있습니다. .ldf 파일은 일반적으로 스키마를 확장할 수 있습니다. 또한 이러한 파일은 기밀 특성으로 표시하는 데 사용할 수 있습니다. 프로덕션 환경으로 롤 때 정확히 어떤 스키마에 추가할 알 수 있도록 테스트 단계에서 만든 파일의 구현 위한 조정이 합니다. .ldf 파일을 오류를 방지할 수 있습니다.

다음 샘플에서는 .ldf 파일은 다음 작업을 사용할 수 있습니다.
  • 특성 스키마에 추가하십시오.
  • 기밀 특성으로 표시
  • 사용자 클래스에 특성 추가
참고 .ldf 파일을 사용하기 전에 개체와 특성을 스키마에 추가하는 방법에 대한 중요한 정보의 식별자를 개체 "및" 특성 구문"섹션이 읽기 확인하십시오.

예제 .ldf 파일

다음 코드는 스키마에 특성을 추가하고 기밀 특성으로 표시합니다.
dn: CN=ConfidentialAttribute-LDF,CN=Schema,Cn=Configuration,DC=domain,DC=com
changetype: add
objectClass: attributeSchema
lDAPDisplayName: ConfidentialAttribute
adminDescription: This attribute stores user's confidential data
attributeID: 1.2.840.113556.1.xxxx.xxxx.1.x
attributeSyntax: 2.5.5.12
oMSyntax: 64
isSingleValued: TRUE
showInAdvancedViewOnly: TRUE
searchFlags: 128

dn:
changeType: modify
add: schemaupdatenow
schemaupdatenow: 1
-
다음 코드는 사용자 class. 새 특성을 추가합니다
dn: CN=User,CN=Schema,CN=Configuration,DC=domain,DC=com
changetype: modify
add: mayContain
mayContain: ConfidentialAttribute

dn:
changeType: modify
add: schemaupdatenow
schemaupdatenow: 1
-

관리자가 아닌 사용자가 특성 데이터를 볼 수 있도록 방법

참고 다음 절차에서는 Windows Server 2003 R2 Active Directory 응용 프로그램 모드 (ADAM 함께) 포함된 Ldp.exe 도구를 사용해야 합니다. 다른 버전의 Ldp.exe 도구 사용 권한을 설정할 수 없습니다.

수동으로 사용자 계정이 있는 Control_Access 사용 권한을 설정하는 방법

  1. Windows Server 2003 R2 ADAM 포함된 Ldp.exe 도구를 엽니다.
  2. 연결하고 있는 디렉터리로 바인딩하십시오.
  3. 사용자 계정을 선택하고, 계정을 마우스 오른쪽 단추로, 고급보안 설명자 차례로 클릭한 다음 확인 을 누릅니다.
  4. DACL 상자에서 추가 ACE.
  5. 트러스트를 받을 대상 상자에서 사용 권한을 부여할 사용자 이름이나 그룹 이름을 입력하십시오.
  6. 액세스 제어 상자에서 5단계에서 변경한 내용을 확인하십시오.

상속을 사용하여 Control_Access 사용 권한을 할당하는 방법

상속을 사용하여 원하는 사용자 또는 상위 컨테이너 계층에서 기밀 특성을 가진 개체가 아닌 그룹 Control_Access 사용 권한을 부여하는 액세스 제어 항목을 만듭니다. 도메인 수준에서 또는 엔터프라이즈에 대해 잘 작동하는 컨테이너 계층 구조의 모든 지점에서 이 액세스 제어 항목을 설정할 수 있습니다. 기밀 특성에 있는 자식 개체에 상속을 사용할 수 있어야 합니다.

Control_Access 사용 권한을 할당하려면 다음과 같이 하십시오.
  1. Windows Server 2003 R2 ADAM 포함된 Ldp.exe 파일을 엽니다.
  2. 연결하고 있는 디렉터리에 바인딩하십시오.
  3. OU 컨테이너 계층 구조에서 더 높은, 컨테이너 또는 OU에 기밀 특성을 가진 개체를 마우스 오른쪽 단추로 것보다 고급보안 설명자 차례로 클릭한 다음 확인 을 누릅니다. 컨테이너를 선택하십시오.
  4. DACL 상자에서 ACE 추가 클릭하십시오.
  5. 트러스트를 받을 대상 상자에서 사용 권한을 부여할 사용자 이름이나 그룹 이름을 입력하십시오.
  6. 액세스 제어 상자에서 5단계에서 변경한 내용을 확인하십시오.
  7. 개체 유형 상자에서 추가한 기밀 특성을 클릭하십시오.
  8. 대상 개체에 대한 상속을 사용할 수 있는지 확인하십시오.

기존 특성을 사용할 때 systemFlags 특성 값을 확인하는 방법

기존 개체를 사용하는 경우 현재 searchFlags 특성 값이 무엇인지 확인해야 합니다. 개체를 추가할 경우 개체를 추가할 때 값을 정의할 수 있습니다. 다양한 방법으로 searchFlags 특성 값을 얻을 수 있습니다. 가장 적합한 방법을 사용하십시오.

searchFlags 특성 값을 얻기 위해 Ldp.exe 도구를 사용하려면 다음과 같이 하십시오.
  1. 시작 을 누르고, 실행 을, LDP 를 입력한 다음 확인 을 누릅니다.
  2. 연결 을 클릭한 다음 바인딩 을 클릭하십시오.
  3. 루트 도메인 관리자로 바인딩하거나 엔터프라이즈 관리자 계정을 같이 바인딩하십시오.
  4. 보기 를 클릭한 다음 트리 를 클릭하십시오.
  5. CN 스키마, cn = 구성, = dc rootdomain =, 다음 확인 을 클릭합니다.
  6. 왼쪽된 창에서 CN 스키마, cn = 구성, = dc = rootdomain.
  7. 같은 기밀, 표시할 특성의 도메인 이름을 찾은 다음 확장하십시오.
  8. 개체에 대해 채워진 특성 목록에서 해당 개체의 현재 searchFlags 특성 값을 확인하려면 searchFlags 찾습니다.
참고searchFlags 특성 값을 결정하려면 다음 수식을 사용하십시오.
128 + current searchFlags attribute valuenew searchFlags attribute value =

기본 스키마 특성 특성인지 여부를 확인하는 방법

특성이 있는지 여부를 확인하려면 기본 스키마 특성, Ldp.exe 도구를 systemFlags 특성 값을 검사할 수 있습니다.

LDP 출력의 직원 번호 – systemFlags: 0x10 = (FLAG_SCHEMA_BASE_OBJECT)

다음 샘플에서는 Ldp.exe 출력 Ldp.exe 0x10 및 기본 스키마 특성 systemFlags 특성 값을 식별합니다. 따라서 이 특성으로 기밀 표시할 수 없습니다.
>> Dn: CN=Employee-ID,CN=Schema,CN=Configuration,DC=domain,DC=com
	2> objectClass: top; attributeSchema; 
	1> cn: Employee-ID; 
	1> distinguishedName: CN=Employee-ID,CN=Schema,CN=Configuration,DC=domain,DC=com; 
	1> instanceType: 0x4 = ( IT_WRITE ); 
	1> whenCreated: 08/05/2005 14:58:58 Central Standard Time; 
	1> whenChanged: 08/05/2005 14:58:58 Central Standard Time; 
	1> uSNCreated: 220; 
	1> attributeID: 1.2.840.113556.1.4.35; 
	1> attributeSyntax: 2.5.5.12 = ( SYNTAX_UNICODE_TYPE ); 
	1> isSingleValued: TRUE; 
	1> rangeLower: 0; 
	1> rangeUpper: 16; 
	1> uSNChanged: 220; 
	1> showInAdvancedViewOnly: TRUE; 
	1> adminDisplayName: Employee-ID; 
	1> adminDescription: Employee-ID; 
	1> oMSyntax: 64 = ( OM_S_UNICODE_STRING ); 
	1> searchFlags: 0x0 = (  ); 
	1> lDAPDisplayName: employeeID; 
	1> name: Employee-ID; 
	1> objectGUID: 64fb3ed1-338f-466e-a879-595bd3940ab7; 
	1> schemaIDGUID: bf967962-0de6-11d0-a285-00aa003049e2; 
	1> systemOnly: FALSE; 
	1> systemFlags: 0x10 = ( FLAG_SCHEMA_BASE_OBJECT ); 
	1> objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=domain,DC=com;

LDP 출력의 직원 번호 systemFlags: 0x0 =)

다음 샘플에서는 Ldp.exe 출력 Ldp.exe systemFlags 특성 값을 0으로 식별합니다. This attribute can be marked as confidential.
>> Dn: CN=Employee-Number,CN=Schema,CN=Configuration,DC=warrenw,DC=com
	2> objectClass: top; attributeSchema; 
	1> cn: Employee-Number; 
	1> distinguishedName: CN=Employee-Number,CN=Schema,CN=Configuration,DC=warrenw,DC=com; 
	1> instanceType: 0x4 = ( IT_WRITE ); 
	1> whenCreated: 08/05/2005 14:58:58 Central Standard Time; 
	1> whenChanged: 08/05/2005 14:58:58 Central Standard Time; 
	1> uSNCreated: 221; 
	1> attributeID: 1.2.840.113556.1.2.610; 
	1> attributeSyntax: 2.5.5.12 = ( SYNTAX_UNICODE_TYPE ); 
	1> isSingleValued: TRUE; 
	1> rangeLower: 1; 
	1> rangeUpper: 512; 
	1> mAPIID: 35943; 
	1> uSNChanged: 221; 
	1> showInAdvancedViewOnly: TRUE; 
	1> adminDisplayName: Employee-Number; 
	1> adminDescription: Employee-Number; 
	1> oMSyntax: 64 = ( OM_S_UNICODE_STRING ); 
	1> searchFlags: 0x0 = (  ); 
	1> lDAPDisplayName: employeeNumber; 
	1> name: Employee-Number; 
	1> objectGUID: 2446d04d-b8b6-46c7-abbf-4d8e7e1bb6ec; 
	1> schemaIDGUID: a8df73ef-c5ea-11d1-bbcb-0080c76670c0; 
	1> systemOnly: FALSE; 
	1> systemFlags: 0x0 = (  ); 
	1> objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=warrenw,DC=com; 
-----------

개체 식별자

스키마에 특성 또는 클래스 개체를 추가할 때 필수 특성 중 하나를 개체 식별자 (OID 라고도 함) 입니다. 개체 식별자는 고유하게 개체 클래스 및 특성을 정의하는 데 사용됩니다. 회사에서 해당 특성을 식별하는 고유한 개체 식별자를 얻는 확인하십시오. Oidgen.exe 도구 같은 개체 식별자를 생성하는 도구는 지원되지 않습니다. Microsoft에서 개체 식별자를 얻으려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn2.microsoft.com/en-us/library/ms677620.aspx (http://msdn2.microsoft.com/en-us/library/ms677620.aspx)

특성 구문

또한 attributeSyntax 특성이 스키마에 새 개체를 추가하려면 필요합니다. 이 특성은 저장소 표현을, 바이트 순서, 속성 형식 비교에 대한 일치 규칙을 정의합니다. 특성 값을 문자열, 숫자 또는 시간 단위가 있어야 구문을 정의합니다. 모든 개체의 각 특성은 정확히 하나의 구문을 사용하여 연결됩니다. 새 특성에 대한 올바른 특성 구문을 선택합니다 확인하십시오. 이것은 특히 다른 LDAP 경량 디렉터리 액세스 프로토콜 (LDAP) 디렉터리를 동기화하는 경우 중요합니다 디렉터리. 특성 스키마에 추가한 후 해당 특성 구문을 변경할 수 없습니다.

attributeSyntax 특성에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
hhttp://msdn.microsoft.com/en-us/library/ms675236(VS.85).aspx (http://msdn.microsoft.com/en-us/library/ms675236(VS.85).aspx)
searchFlags 특성 값에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하여 효과 중 인덱싱에 대한 검색 동작을 "에 대한 검색:
http://technet2.microsoft.com/WindowsServer/en/library/8196d68e-776a-4bbc-99a6-d8c19f36ded41033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/library/8196d68e-776a-4bbc-99a6-d8c19f36ded41033.mspx?mfr=true)

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003 Service Pack 1 을(를) 다음과 함께 사용했을 때
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
키워드: 
kbmt kbhowto kbinfo KB922836 KbMtko
기계 번역된 문서기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.