로그인

Select the product you need help with

IIS 5.0 웹 서버에 필요한 NTFS 권한 및 사용자 권한을 설정하는 방법

이 문서는 이전에 다음 ID로 출판되었음: KR271071

이 문서에서는 전용 인터넷 정보 서비스(IIS) 5.0 웹 서버에 필요한 최소한의 사용 권한을 단계별로 설명합니다.

경고 이 문서는 HTML 정적 콘텐츠 또는 단순 ASP(Active Server Pages) 콘텐츠 제공과 같이 기본 IIS 기능을 사용하는 전용 웹 서버에만 적용됩니다. 이 문서에서 설명하는 권한 요구 사항은 Microsoft Windows 2000 및 IIS 5.0을 실행하는 전용 웹 서버에 대한 기본 사용 권한에만 적용됩니다. 이 문서에서는 다른 권한을 필요로 하는 다른 Microsoft 및 타사 제품에 대해서는 다루지 않습니다. 프로덕션 웹 서버에 대한 권한을 변경하기 전에 웹 서버의 역할에 대한 문서를 검토하고 테스트를 수행하는 것이 좋습니다. 기타 Microsoft 제품에 대한 관련 문서에 대한 링크는 "참조" 절을 참조하십시오.

Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 또는 추가 권한에 따라 달라지는 타사 응용 프로그램 등 다른 역할을 수행하는 IIS 서버에 이러한 사용 권한을 적용하는 경우 이들 제품이 예상대로 작동하지 않을 수 있습니다.

참고 이 문서는 IIS 5.0에만 적용됩니다. IIS의 다른 버전에는 적용되지 않습니다.

IIS 4.0에 필요한 사용 권한에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

187506

(http://support.microsoft.com/kb/187506/ )

IIS 4.0 실행에 필요한 NTFS 권한 및 사용자 권한

IIS 6.0에 필요한 권한에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

812614

(http://support.microsoft.com/kb/812614/ )

IIS 6.0의 기본 사용 권한 및 사용자 권한

이 문서에 대한 테스트는 다음 기능 테스트에 포함되었습니다.

하이퍼텍스트 문서(HTML)
ASP(Active Server Pages)
Lockdown 도구를 사용하는 동안 FPSE가 설정된 경우 FrontPage Server Extensions(연결, 편집 및 저장)
SSL(Secure Sockets Layer) 연결

이 문서에서는 다음 서버 역할 또는 응용 프로그램의 특정 보안 요구 사항에 대해서는 다루지 않습니다.

Windows 2000 도메인 컨트롤러
Microsoft Exchange 5.5 또는 Microsoft Exchange 2000 Outlook Web Access
Microsoft Small Business Server 2000
Microsoft SharePoint Portal 또는 Team Services
Microsoft Commerce Server 2000 또는 Microsoft Commerce Server 2002
Microsoft BizTalk Server 2000 또는 Microsoft BizTalk Server 2002
Microsoft Content Management Server 2000 또는 Microsoft Content Management Server 2002
Microsoft Application Center 2000

특정 보안 요구 사항에 대해서는 서버 및 응용 프로그램 설명서를 검토하십시오. 관련 기술 자료 문서에 대한 링크는 "참조" 절에서 제공됩니다.

이 문서의 사용 권한을 적용하기 전에 최신 버전의 IIS Lockdown 도구를 실행하는 것이 좋습니다. 이 도구에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.

http://www.microsoft.com/korea/technet/security/tools/locktool.asp

(http://www.microsoft.com/korea/technet/security/tools/locktool.asp)

다음 프로그램 및 서비스는 이 문서에서 설명하는 사용 권한을 부여한 후 서버 보안을 테스트하는 데 사용된 테스트의 일부로 설치되었습니다.

인덱스 서비스
터미널 서비스
스크립트 디버거
IIS
- 공용 파일
- 설명서
- FrontPage Server Extensions 2000
- 인터넷 서비스 관리자(HTML)
- WWW
- FTP

소유권과 사용 권한을 관리자와 시스템에 제공

시스템에 사용 권한을 할당하려면 다음과 같이 하십시오.

Windows 탐색기를 엽니다. Windows 탐색기를 열려면 시작, 프로그램, 보조 프로그램, Windows 탐색기를 차례로 누릅니다.
내 컴퓨터를 확장합니다.
시스템 드라이브(대개 C 드라이브)를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
보안 탭을 누른 다음 고급을 눌러 로컬 디스크 액세스 컨트롤 설정 대화 상자를 엽니다.
소유자 탭을 누르고 하위 컨테이너 및 개체 소유자 바꾸기 확인란을 선택한 다음 적용을 누릅니다.

다음과 유사한 오류 메시지가 나타나면 계속을 누릅니다.
보안 정보를 %systemdrive%\Pagefile.sys에 적용하는 동안 오류가 발생했습니다.
다음 오류 메시지가 나타나면 예를 누릅니다.
%systemdrive%\System Volume Information 디렉터리의 내용을 읽을 수 있는 권한이 없습니다. 디렉터리 사용 권한을 모든 권한으로 바꾸시겠습니까?
확인을 눌러 대화 상자를 닫습니다.
추가를 누릅니다.
다음 사용자를 추가한 다음 NTFS 권한으로 모든 권한을 부여합니다.
- Administrator
- System
- Creator Owner
이러한 NTFS 권한을 추가한 후 고급을 누르고 모든 자식 개체의 사용 권한 재설정 및 상속 가능한 사용 권한 전파 허용 확인란을 선택한 다음 적용을 누릅니다.
다음과 유사한 오류 메시지가 나타나면 계속을 누릅니다.
보안 정보를 %systemdrive%\Pagefile.sys에 적용하는 동안 오류가 발생했습니다.
NTFS 권한을 다시 설정한 후 확인을 누릅니다.
Everyone 그룹을 누르고 제거를 누른 다음 확인을 누릅니다.
%systemdrive%\Program Files\Common Files 폴더의 등록 정보를 연 다음 보안 탭을 누릅니다. 익명 액세스에 사용된 계정을 추가합니다. 기본적으로 IUSR_<MachineName> 계정입니다. 그런 다음 Users 그룹을 추가합니다. 다음 항목만 선택되었는지 확인합니다.
- 읽기 및 실행
- 폴더 내용 보기
- 읽기
웹 콘텐츠를 저장하는 루트 디렉터리의 등록 정보를 엽니다. 기본적으로 %systemdrive%\Inetpub\Wwwroot 폴더입니다. 보안 탭을 누르고 IUSR_<MachineName> 계정과 Users 그룹을 추가하고 다음만 선택되었는지 확인합니다.
- 읽기 및 실행
- 폴더 내용 보기
- 읽기
Inetpub\FTProot 또는 FTP 사이트의 디렉터리 경로에 대해 쓰기 NTFS 권한을 부여하려는 경우 15단계를 반복합니다.

참고 FTP 서비스에서 사용하는 디렉터리를 포함하여 어떤 디렉터리에도 익명 계정에 쓰기 NTFS 권한을 부여하는 것은 좋지 않습니다. 이것은 웹 서버에 불필요한 데이터가 업로드되는 원인이 될 수 있습니다.

시스템 디렉터리에서 상속 해제

%systemroot%\System32 폴더에서 다음을 제외한 모든 폴더를 선택합니다.
- Inetsrv
- Certsrv(있을 경우)
- COM
선택하지 않은 폴더를 마우스 오른쪽 단추로 누르고 등록 정보를 누른 다음 보안 탭을 누릅니다.
부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란의 선택을 취소하고 복사를 누른 다음 확인을 누릅니다.
%systemroot% 폴더에서 다음을 제외한 모든 폴더를 선택합니다.
- Assembly(있을 경우)
- Downloaded Program Files
- Help
- Microsoft.NET(있을 경우)
- Offline Web Pages
- System32
- Tasks
- Temp
- Web
선택하지 않은 폴더를 마우스 오른쪽 단추로 누르고 등록 정보를 누른 다음 보안 탭을 누릅니다.
부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란의 선택을 취소하고 복사를 누른 다음 확인을 누릅니다.
다음에 사용 권한을 적용합니다.
1. %systemroot% 폴더의 등록 정보를 열고 보안 탭을 누른 다음 IUSR_<MachineName> 및 IWAM_<MachineName> 계정과 Users 그룹을 추가하고 다음만 선택되었는지 확인합니다.
  - 읽기 및 실행
  - 폴더 내용 보기
  - 읽기
2. %systemroot%\Temp 폴더의 등록 정보를 열고 IUSR_<MachineName> 계정(이 계정은 Winnt 폴더에서 상속되기 때문에 이미 있음)을 선택한 다음 수정 확인란을 눌러 선택합니다. IWAM_<MachineName> 계정 및 Users 그룹에 대해 이 단계를 반복합니다.
3. FrontPage나 Microsoft Visual InterDev 같은 FrontPage Server Extension 클라이언트가 사용 중인 경우 %systemdrive%\Inetpub\Wwwroot 폴더의 등록 정보를 열고 Authenticated Users 그룹을 선택하고 다음을 선택한 다음 확인을 누릅니다.
  - 수정
  - 읽기 및 실행
  - 폴더 내용 보기
  - 읽기
  - 쓰기

위로 가기 | 피드백 보내기

NTFS 권한

다음 표에는 시스템 디렉터리에서 상속 해제 절의 단계를 수행할 때 적용되는 사용 권한이 나열되어 있습니다. 이 표는 참조용으로만 제공됩니다.

다음 표의 사용 권한을 적용하려면 다음과 같이 하십시오.

Windows 탐색기를 엽니다. Windows 탐색기를 열려면 시작, 프로그램, 보조프로그램, Windows 탐색기를 차례로 누릅니다.
내 컴퓨터를 확장합니다.
%systemroot%를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
보안 탭을 누른 다음 고급을 누릅니다.
사용 권한을 두 번 누른 다음 적용 대상 목록에서 적절한 설정을 선택합니다.

참고?“적용 대상” 열에서 기본값이라는 용어는 “이 폴더, 하위 폴더 및 파일”을 말합니다.

표 축소표 확대

디렉터리	사용자\그룹	사용 권한	적용 대상
%systemroot%\ (c:\winnt)	Administrator	모든 권한	기본값
	System	모든 권한	기본값
	Users	읽기, 실행	기본값
%systemroot%\system32	Administrators	모든 권한	기본값
	System	모든 권한	기본값
	Users	읽기, 실행	기본값
%systemroot%\system32\inetsrv	Administrators	모든 권한	기본값
	System	모든 권한	기본값
	Users	읽기, 실행	기본값
Inetpub\adminscripts	Administrators	모든 권한	기본값
Inetpub\urlscan(있을 경우)	Administrators	모든 권한	기본값
	System	모든 권한	기본값
%systemroot%\system32\inetsrv\metaback	Administrators	모든 권한	기본값
	System	모든 권한	기본값
%systemroot%\help\iishelp\common	Administrators	모든 권한	이 폴더 및 파일
	System	모든 권한	이 폴더 및 파일
	IWAM_<Machinename>	읽기, 실행	이 폴더 및 파일
	Network	모든 권한	이 폴더 및 파일
	Service		이 폴더 및 파일
	Users	읽기, 실행	이 폴더 및 파일
Inetpub\wwwroot(또는 content 디렉터리)	Administrators	모든 권한	이 폴더 및 파일
	System	모든 권한	이 폴더 및 파일
	IWAM_<MachineName>	읽기, 실행	이 폴더 및 파일
	Service	읽기, 실행	이 폴더 및 파일
	Network	읽기, 실행	이 폴더 및 파일
선택 사항**:	Users	읽기, 실행	이 폴더 및 파일

** FrontPage Server Extensions를 사용 중인 경우 Authenticated Users 또는 Users 그룹에 변경 NTFS 권한이 있어야 Visual InterDev 6.0 또는 FrontPage 2002 같은 FrontPage 클라이언트 종류에서 개발자에게 필요할 수 있는 기능을 만들기, 이름 바꾸기 또는 작성 및 제공할 수 있습니다.

레지스트리에서 사용 권한 부여

시작, 실행을 차례로 누르고 regedt32를 입력한 다음 확인을 누릅니다. Windows 2000에서는 사용 권한을 변경하는 것이 허용되지 않으므로 레지스트리 편집기를 사용하지 마십시오.
레지스트리 편집기에서 HKEY_LOCAL_MACHINE을 찾아 선택합니다.
System, CurrentControlSet, Services를 차례로 확장합니다.
IISADMIN 키를 선택하고 보안(또는 Alt+S)을 누른 다음 사용 권한(또는 P 키)을 누릅니다.
부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란의 선택을 취소하고 복사를 누르고 다음을 제외한 모든 사용자를 제거합니다.
- Administrators(읽기 및 모든 권한 허용)
- System(읽기 및 모든 권한 허용)
확인을 누릅니다.
MSFTPSVC 키에 대해 이러한 단계를 반복하십시오.
W3SVC 키를 선택하고 보안을 누른 다음 사용 권한을 누릅니다.
부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란의 선택을 취소하고 다음을 제외한 모든 항목을 제거합니다.
- Administrators(읽기 및 모든 권한 허용)
- System(읽기 및 모든 권한 허용)
- Network(읽기)
- Service(읽기)
- IWAM_<MachineName>(읽기)
확인을 누릅니다.

레지스트리

다음 표에는 레지스트리에서 사용 권한 부여 절의 단계를 수행할 때 적용되는 사용 권한이 나열되어 있습니다. 이 표는 참조용으로만 제공됩니다.

참고 약어 HKLM은 HKEY_LOCAL_MACHINE을 나타냅니다.

표 축소표 확대

위치	사용자\그룹	사용 권한
HKLM\System\CurrentControlSet\Services\IISAdmin	Administrators	모든 권한
	System	모든 권한
HKLM\System\CurrentControlSet\Services\MsFtpSvc	Administrators	모든 권한
	System	모든 권한
HKLM\System\CurrentControlSet\Services\w3svc	Administrators	모든 권한
	System	모든 권한
	IWAM_<MachineName>	읽기

로컬 보안 정책에서 권한 부여

시작, 설정, 제어판을 차례로 누릅니다.
관리 도구를 두 번 누르고 로컬 보안 정책을 두 번 누릅니다.
로컬 보안 설정 대화 상자에서 로컬 정책을 확장한 다음 사용자 권한 할당을 누릅니다.
해당 정책을 수정합니다.
1. 수정할 정책을 두 번 누릅니다.
2. 표에 나열되지 않은 사용자를 선택하고 제거를 누릅니다.
3. 나열되지 않은 사용자가 있으면 추가합니다. 추가하려면 추가를 누른 다음 사용자 또는 그룹을 선택하십시오 대화 상자에서 사용자를 선택합니다.

도메인 컨트롤러 정책은 로컬 정책보다 우선하므로 실제 정책 설정이 로컬 정책 설정과 일치하는지 확인해야 합니다.

정책

다음 표에는 로컬 보안 정책에서 권한 부여 절의 단계를 수행할 때 적용되는 사용 권한이 나열되어 있습니다.

표 축소표 확대

정책	사용자
로컬 로그온	Administrators
	USR_<MachineName>(익명)
	Users(인증 필수)
네트워크에서 이 컴퓨터 액세스	Administrators
	ASPNet(.NET Framework)
	USR_<MachineName>(익명)
	IWAM_<MachineName>
	Users
일괄 작업으로 로그온	ASPNet
	Network
	IUSR_<MachineName>
	IWAM_<MachineName>
	Service
서비스로 로그온	ASPNet
	Network
트래버스 확인 통과	Administrators
	USR_<MachineName>(익명)
	Users(기본, 통합, 다이제스트)
	IWAM_<MachineName>