|
각 사용자 계정은 하나 혹은 그 이상의 내장 로컬 그룹 안에 속해 있게 된다. 도메인의 로컬 그룹에 속해 있는 사용자라면 서버에서 제공해 주는 여러 가지 서비스들을 사용할 수 있는 권한을 가지게 된다. 윈도우 NT 워크스테이션에 계정을 가지고 있다고 하면 그 워크스테이션의 사용 권한을 갖게 된다. 이런 권한들은 원래 시스템에 지정되어 있어서 바꿀 수 없는 것들이 많다. 그러나 경우에 따라서는 권한을 삭제할 수 있는 것도 있다.
Account Operators 그룹
이 그룹은 서버의 사용자와 그룹 계정을 관리한다. 글로벌 그룹이나 로컬 그룹에 속하는 계정을 만들거나 없앨 수 있으며 사용자 정보를 수정할 수 있다. 단, 관리자 계정인 Administrator, Server Operator, Account Opreator, Print Operator, Backup Operator 계정은 그 정보를 바꿀 수 없다.
Administrators 그룹
이 그룹은 대표적인 관리자 그룹으로서 윈도우 NT 시스템의 모든 권한을 가지고 있다. 사용자의 계정을 만들거나 없앨 수 있으며 대렉토리와 프린터를 공유할 수 있는 명령을 내릴 수 있다. 또한 사용할 수 있는 자원에 대한 권한 설정을 할 수 있다.
이 계정으로 로그온하는 사용자는 다음 일들을 수행할 수 있다.
-. 사용자 계정의 추가, 삭제, 수정
-. 사용자를 그룹에서 추가하거나 삭제
-. 그룹에 대한 특별 권한 부여
-. 운영체계의 소프트웨어 수정
-. 장치 제어기나 응용 프로그램 설치, 업그레이드
-. 디스크 포맷
-. 네트워크를 통한 원격 관리 컴퓨터 설정
네트웨어나 랜 매니저 등의 다른 운영체계와는 달리 윈도우 NT의 Administrator에는 모든 파일이나 서버에 자동적으로 접근할 수 있는 권한이 부여되지 않는다. 파일에 주어지는 권한은 이 계정으로 로그온한 경우에도 접근할 수 없도록 설정할 수 있다. NTFS 시스템에 만들어지는 파일은 그 파일의 소유자만이 파일 속성을 지정할 수 있다. 그러나 Administrator 아이디는 파일의 소유권을 가져 올 수 있는 능력이 있다.
Administrator 로그온
|
Administrator 계정은 사용자를 관리하는 데도 쓰이지만 일반적인 시스템을 사용하는 계정으로 사용되기도 한다. 관리자 계정을 가진 사람들은 가능한 한 이렇게 Administrator 아이디를 사용하는 것보다는 두 개의 사용자 아이디를 발급하여 필요한 경우에만 관리자 계정의 아이디를 사용하는 것이 좋다.
두 개의 아이디를 가지고 사용하는 것은 시스템의 보호에 도움이 된다. 일반적인 사용자로 로그온하면 실수로 시스템의 설정을 변경한다든가 필요한 파일을 지워 버리는 사태가 발생하지 않는다. 또한 시스템 바이러스나 트로이 목마 등의 프로그램이 시스템을 망칠 확률도 줄어들게 된다.
두 개의 아이디를 사용하게 되면 시스템 관리자의 입장에서는 다소 불편할 수 있다. 그러나 시스템의 보호를 위해서 아이디를 따로 쓰는 것을 권한다. |
Backup Operators 그룹
윈도우 NT 서버나 워크스테이션의 백업 오퍼레이터 그룹은 시스템의 파일들을 백업하는 권한을 가지고 있다. 그리고 로컬 컴퓨터에 로그온할 수 있으며 시스템을 종료할 수 있다.
Guests 그룹
윈도우 NT 서버에서 게스트 그룹은 Users 그룹과 같은 권한을 가질 수 있다. 두 그룹 모두 네트워크를 통해서 서버에 로그온할 수 있으며 서버로의 로컬 로그온은 금지된다.(물론 시스템 정책을 바꾸면 로컬 로그온이 가능하다.)
그러나 윈도우 NT 워크스테이션에서 게스트 그룹의 권한은 한정되어 있다. Users 그룹은 컴퓨터의 로컬 프로파일을 가질 수 있고, 시스템 잠금과 자신의 계정에 해당하는 설정 사항을 변경할 수 있으나 게스트 사용자에게는 그러한 기능이 주어지지 않는다.
Power Users 그룹
파워 유저 그룹은 윈도우 NT 워크스테이션에서 사용자가 가질 수 있는 거의 모든 권한을 가지고 있다. 사용자 계정을 만들고 수정할 수 있으며 사용자를 새로운 그룹의 구성원으로 할당할 수 있고, 시스템의 파일 및 프린터 공유를 중단시킬 수 있다.
파워 유저 그룹이 윈도우 NT 워크스테이션에서는 존재하지만 서버에서는 존재하지 않는다. 따라서 도메인을 사용하는 경우 파워 유저 그룹에 속하는 사용자는 도메인 유저 그룹에 따로 첨가시켜 주어야 한다. 즉 파워 유저 그룹은 자신의 컴퓨터에서만 시스템을 관리할 능력을 가지고 있으며 자신의 컴퓨터 밖의 네트워크에서는 단지 일반적인 사용자일 뿐이다.
네트워크에서 각 컴퓨터에 계정을 가지고 있는 사용자는 서버 컴퓨터에서 볼 때 일반적인 사용자로 구분된다. 그런데 각 워크스테이션의 시스템 관리자는 사용자의 도메인 아이디를 그 사용자의 로컬 컴퓨터의 파워 유저 그룹에 속하게 만들어 놓기도 한다. 이것은 시스템을 중앙 집중적으로 관리할 것인지 그렇지 않으면 분권적으로 관리할 것인지의 여부에 따라 달리 설정된다. 만약 각 컴퓨터의 공유 권한을 개인에게 부여하지 않으려면 각 워크스테이션의 사용자를 파워 유저 그룹에 넣지 말아야 한다.
Print Operators 그룹
프린트 오페레이터 그룹은 단지 프린터를 공유하기 위한 그룹이다. 이 그룹은 로컬 로그온과 시스템 종료의 권한이 있다.
만약 도메인의 서버에서 관리되는 프린터를 윈도우 NT 워크스테이션에서도 관리하려면 다음 단계의 과정을 거치면 된다.
1. Domain PrintOps 글로벌 그룹을 생성한다. 그리고 이 글로벌 그룹을 도메인 프린트 오퍼레이터 그룹 하에 넣는다.
2. 각각의 프린트 오퍼레이터 사용자 계정에 Domain PrintOps 글로벌 그룹을 첨가한다.
3. 프린터를 관리하고 있는 컴퓨터에서 파워 유저 그룹에 Domain PrintOps 그룹을 첨가한다.
Server Operators 그룹
서버 오퍼레이터 그룹에 배정된 작업은 서버가 계속 작동할 수 있도록 해 주는 일이다. 서버 오퍼레이터 로컬 그룹에 지정된 계정은 서버의 보안 설정 권한만을 제외하고는 Administrator와 같은 권한을 가지고 있다. 서버 오퍼레이터의 기능은
-. 서버의 파일과 프린터 공유를 지정할 수 있다.
-. 서버 잠금을 설정하거나 해제할 수 있다.
-. 서버의 디스크를 포맷할 수 있다.
-. 서버에 로그온할 수 있고 서버의 파일을 백업하거나 복원할 수 있으며 서버 시스템을 종료할 수 있다.
Users 그룹
대부분의 사용자는 디폴트로 유저 그룹에 소속되게 된다. 이 그룹에 소속된 사용자는 네트워크를 통해 서버나 다른 도메인 구성 요소에 로그온할 수 있다. 그러나 서버에 직접 인터액티브로 로그온하지는 못한다.(시스템 정책을 바꾸면 서버에 바로 인터액티브로 로그온할 수 있다.) 이 계정은 관리 계정에 비해서 한정된 권한을 가지고 있다.
유저 그룹으로 윈도우 NT 워크스테이션에 로그온하였으면 다음 일들을 할 수 있다.
-. 컴퓨터에 로그온하고 네트워크를 사용.
-. 컴퓨터를 잠그거나 시스템을 종료(시스템 정책이 바뀌어서 서버로 인터액티브 로그온이 가능한 경우 서버에서는 시스템을 종료하지 못한다.)
-. 컴퓨터에 프로파일을 저장
-. 응용 프로그램을 실행
-. 허가가 할당된 파일을 관리
-. 워크스테이션 컴퓨터에 로컬 그룹 설정.
-. 만들어진 로컬 그룹을 관리.(내장 로컬 그룹은 관리하지 못한다.)
|
사용자 계정에서 할 수 있는 기능
