인증 후 클라이언트 가장 및 전역 개체 만들기 보안 설정 개요

  • 아티클

이 문서에서는 인증 후 클라이언트 가장전역 개체 사용자 권한 만들기 에 대해 설명합니다.

적용 대상: Windows Server 2012 R2
원래 KB 번호: 821546

요약

이 문서에서는 "인증 후 클라이언트 가장" 및 "전역 개체 만들기" 사용자 권한에 대해 설명합니다. 이러한 새로운 보안 설정은 Windows 2000 SP4(서비스 팩 4)에서 처음 도입되었으며 Windows 2000의 보안을 강화하는 데 도움이 됩니다. 이 문서에서는 새 보안 설정에 대해 설명하고 발생할 수 있는 알려진 문제 및 문제를 해결하는 방법에 대한 정보도 포함합니다.

중요

기본 도메인 정책 또는 그룹 정책 사용하여 "인증 후 클라이언트 가장" 및 "전역 개체 만들기" 사용자 권한을 적용할 때 다음 문제를 고려합니다.

  • "인증 후 클라이언트 가장" 및 "전역 개체 만들기" 사용자 권한은 Windows 2000 SP4 이상을 실행하는 컴퓨터에만 적용됩니다.

  • 컴퓨터가 Windows 2000 SP2(서비스 팩 2) 이상을 실행하는 경우 기본 도메인 정책 또는 그룹 정책 사용하여 환경의 컴퓨터에 "인증 후 클라이언트 가장" 및 "전역 개체 만들기" 보안 설정을 적용할 수 있습니다. Windows 2000 SP2 및 Windows 2000 SP3(서비스 팩 3) 기반 컴퓨터가 포함된 환경에서 보안 설정을 배포할 수 있지만 보안 설정은 Windows 2000 SP4 기반 컴퓨터에 적용됩니다. Windows 2000 SP2 또는 Windows 2000 SP3을 실행하는 컴퓨터에는 설정이 적용되지 않습니다.

  • 기본 도메인 정책 또는 다른 그룹 정책 사용하여 Windows 2000 또는 Windows 2000 SP1(서비스 팩 1)을 실행하는 컴퓨터에 이러한 새 사용자 권한 중 하나 또는 둘 다를 적용하지 마세요. 기본 도메인 정책 또는 다른 그룹 정책 사용하여 Windows 2000 또는 Windows 2000 SP1(서비스 팩 1)을 실행하는 컴퓨터에 이러한 사용자 권한을 적용하는 경우 정책의 보안 설정 전파가 실패합니다. 즉, 정책이 Windows 2000 또는 Windows 2000 SP1 컴퓨터로 전파되지 않으며 사용자 권한이 로컬 보안 설정 스냅인에 표시되지 않습니다. 기본 도메인 정책 또는 다른 그룹 정책 사용하여 Windows 2000 또는 Windows 2000 SP1(서비스 팩 1)을 실행하는 컴퓨터에 이러한 새 사용자 권한 중 하나 또는 둘 다를 적용하는 경우 다음 시나리오가 발생할 수 있습니다.

    • 동일한 그룹 정책 개체에 있고 Windows 2000 또는 Windows 2000 SP1(서비스 팩 1) 디바이스를 대상으로 하는 추가 보안 정책 설정은 대상 디바이스로 전파되지 않습니다.

    • 전파될 Windows 2000 또는 Windows 2000 SP1(서비스 팩 1) 디바이스에 대한 SDOU(사이트, 도메인, 조직 구성 단위) 경로를 따라 다른 그룹 정책을 사용하여 적용되는 추가 보안 정책 설정입니다.

    • 이러한 새 보안 설정 중 하나 또는 둘 다 Windows 2000 또는 Windows 2000 SP1(서비스 팩 1) 디바이스를 대상으로 하는 경우 해당 디바이스의 로컬 MMC 보안 스냅인은 보안 설정을 올바르게 표시할 수 없습니다. 그러나 다른 도메인 쪽 그룹 정책 개체(새 설정이 포함되지 않음)의 대상 디바이스에 적용되는 모든 보안 설정은 대상 디바이스에 계속 적용됩니다.

  • 마찬가지로 기본 도메인 컨트롤러 보안 정책을 사용하여 도메인 컨트롤러가 Windows 2000 SP2 이상을 실행하는 경우 환경의 도메인 컨트롤러에 "인증 후 클라이언트 가장" 및 "전역 개체 만들기" 보안 설정을 적용할 수 있습니다. Windows 2000 SP2 및 Windows 2000 SP3 기반 도메인 컨트롤러가 포함된 환경에서 보안 설정을 배포할 수 있지만 보안 설정은 Windows 2000 SP4 기반 도메인 컨트롤러에 적용됩니다. Windows 2000 SP2 또는 Windows 2000 SP3를 실행하는 도메인 컨트롤러에는 설정이 적용되지 않습니다.

문제 1: "클라이언트 후 가장인증" 사용자 권한(SeImpersonatePrivilege)

"인증 후 클라이언트 가장" 사용자 권한(SeImpersonatePrivilege)은 Windows 2000 SP4에서 처음 도입된 Windows 2000 보안 설정입니다. 기본적으로 디바이스의 로컬 관리자 그룹 및 디바이스의 로컬 서비스 계정에는 "인증 후 클라이언트 가장" 사용자 권한이 할당됩니다. 다음 구성 요소에는 이 사용자 권한도 있습니다.

  • Service Control Manager에서 시작하는 서비스
  • COM 인프라에서 시작하고 특정 계정으로 실행되도록 구성된 COM(구성 요소 개체 모델) 서버

사용자에게 "인증 후 클라이언트 가장" 사용자를 할당할 때 해당 사용자를 대신하여 실행되는 프로그램이 클라이언트를 가장하도록 허용합니다. 이 보안 설정은 권한이 없는 서버가 RPC(원격 프로시저 호출) 또는 명명된 파이프와 같은 메서드를 통해 연결하는 클라이언트를 가장하는 것을 방지하는 데 도움이 됩니다. SeImpersonatePrivilege 함수에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.
인증 후 클라이언트 가장

ImpersonateClient, ImpersonateLoggedOnUser 및 ImpersonateNamedPipeClient와 같은 가장 함수에 대한 자세한 내용은 Microsoft Platform SDK 설명서에서 SeImpersonatePrivilege를 검색하세요. 이 설명서를 보려면 다음 Microsoft 웹 사이트를 방문하세요.
인증 후 클라이언트 가장

문제 해결 1

  • Windows 2000 SP4를 설치한 후 가장을 사용하는 일부 프로그램이 제대로 작동하지 않을 수 있습니다.

    컴퓨터에 Windows 2000 SP4(서비스 팩 4)를 설치한 후 가장을 사용하는 일부 프로그램이 제대로 작동하지 않을 수 있습니다.

    이 문제는 프로그램을 실행하는 데 사용되는 사용자 계정에 "인증 후 클라이언트 가장" 사용자 권한이 없는 경우에 발생할 수 있습니다.

    Windows 2000 SP3(서비스 팩 3) 이하를 실행하는 컴퓨터에서는 사용자 권한이 클라이언트를 가장할 필요가 없습니다. 따라서 Windows 2000 SP4를 설치한 후 가장을 사용하는 일부 프로그램이 제대로 작동하지 않을 수 있습니다.

    이 문제를 resolve 프로그램을 실행하는 데 사용되는 사용자 계정을 식별한 다음 해당 사용자 계정에 "인증 후 클라이언트 가장" 사용자 권한을 할당합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 로컬 보안 정책을 클릭합니다.
    2. 로컬 정책을 확장하고 사용자 권한 할당을 클릭합니다.
    3. 오른쪽 창에서 인증 후 클라이언트 가장을 두 번 클릭합니다.
    4. 로컬 보안 정책 설정 대화 상자에서 추가를 클릭합니다.
    5. 사용자 또는 그룹 선택 대화 상자에서 추가할 사용자 계정을 클릭하고 추가를 클릭한 다음 확인을 클릭합니다.
    6. 확인을 클릭합니다.

    참고

    프로그램을 실행하는 데 사용되는 사용자 계정을 확인할 수 없는 상황과 발생한 증상이 사용자 권한으로 인한 것인지 확인하려는 경우 문제를 해결하려면 "인증 후 클라이언트 가장" 사용자를 모두 그룹에 할당한 다음 프로그램을 시작합니다. 프로그램이 올바르게 작동하는 경우 발생하는 문제는 새 보안 설정으로 인해 발생할 수 있습니다.

  • Visual Studio .NET에서 웹 애플리케이션을 디버그할 때 "프로젝트를 실행하는 동안 오류" 오류 메시지가 표시됩니다.

문제 2: "전역 개체 만들기" 사용자 권한(SeCreateGlobalPrivilege)

"전역 개체 만들기" 사용자 권한(SeCreateGlobalPrivilege)은 Windows 2000 SP4에서 처음 도입된 Windows 2000 보안 설정입니다. 사용자 계정이 전역 파일 매핑 및 기호 링크 개체를 만들려면 사용자 권한이 필요합니다. 사용자는 이 사용자에게 권한을 할당하지 않고도 세션별 개체를 만들 수 있습니다. 기본적으로 관리자 그룹, 시스템 계정 및 서비스 제어 관리자에서 시작하는 서비스의 구성원에게 "전역 개체 만들기" 사용자 권한이 할당됩니다.

문제 해결 2

  • Windows 2000 SP4를 설치한 후 일부 프로그램이 제대로 작동하지 않을 수 있습니다.

    컴퓨터에 Windows 2000 SP4(서비스 팩 4)를 설치한 후 일부 프로그램이 제대로 작동하지 않을 수 있습니다. 이 문제는 프로그램을 실행하는 데 사용되는 사용자 계정에 "전역 개체 만들기" 사용자 권한이 없는 경우에 발생할 수 있습니다.

    이 문제를 resolve 프로그램을 실행하는 데 사용되는 사용자 계정을 식별한 다음 해당 사용자 계정에 "전역 개체 만들기" 사용자 권한을 할당합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 로컬 보안 정책을 클릭합니다.
    2. 로컬 정책을 확장하고 사용자 권한 할당을 클릭합니다.
    3. 오른쪽 창에서 전역 개체 만들기를 두 번 클릭합니다.
    4. 로컬 보안 정책 설정 대화 상자에서 추가를 클릭합니다.
    5. 사용자 또는 그룹 선택 대화 상자에서 추가할 사용자 계정을 클릭하고 추가를 클릭한 다음 확인을 클릭합니다.
    6. 확인을 클릭합니다.

    참고

    프로그램을 실행하는 데 사용되는 사용자 계정을 확인할 수 없고 발생한 증상이 사용자 권한으로 인해 발생하는지 확인하려는 상황을 해결하려면 모든 사용자 그룹에 "전역 개체 만들기" 사용자 권한을 할당한 다음 프로그램을 시작합니다. 프로그램이 올바르게 작동하는 경우 발생하는 문제는 새 보안 설정으로 인해 발생할 수 있습니다.

  • 터미널 서비스 세션의 Office XP 문서에서 클립을 검색할 때 "메모리 부족" 오류 메시지가 표시됩니다.

  • McAfee 자녀 보호 기능을 설치한 후 Windows 2000 서버 기반 컴퓨터를 다시 시작하면 컴퓨터가 응답하지 않습니다(중단).