Windows Server 2003 서비스 팩 1에서 특성을 기밀로 표시

이 문서에서는 Windows Server 2003 서비스 팩 1에서 특성을 기밀로 표시하는 방법을 설명합니다.

적용 대상: Windows Server 2003
원래 KB 번호: 922836

요약

Microsoft Windows Server 2000 및 Microsoft Windows Server 2003용 Active Directory 디렉터리 서비스에서는 인증된 사용자가 특성을 읽지 못하도록 방지하기가 어렵습니다. 일반적으로 사용자가 특성 또는 해당 속성 집합에 대한 READ_PROPERTY 권한을 요청하는 경우 읽기 권한이 부여됩니다. 인증된 사용자가 모든 특성에 대한 읽기 권한을 갖도록 Active Directory의 기본 보안이 설정됩니다. 이 문서에서는 Windows Server 2003 SP1(서비스 팩 1)에서 특성에 대한 읽기 액세스를 방지하는 방법을 설명합니다.

추가 정보

Windows Server 2003 SP1에서는 특성을 기밀로 표시하는 방법을 소개합니다. 이렇게 하려면 스키마에서 searchFlags 특성의 값을 수정합니다. searchFlags 특성 값에는 특성의 다양한 속성을 나타내는 여러 비트가 포함됩니다. 예를 들어 비트 1이 설정되면 특성이 인덱싱됩니다. 비트 7(128)은 특성을 기밀로 지정합니다.

요구 사항 및 제약 조건

Windows Server 2003 SP1 이상을 실행하는 도메인 컨트롤러만 기밀 특성에 대한 읽기 액세스 검사 적용합니다. 기밀 특성 기능은 Windows Server 2003 SP1 이상 버전의 설치와 관련이 있습니다. 이 기능은 도메인 또는 포리스트 기능 수준을 사용할 수 있는지 여부에 따라 달라지지 않습니다.

다음 조건이 충족되지 않는 한 기밀 특성 기능을 사용하지 마세요.

• 모든 Windows Server 2003 기반 도메인 컨트롤러에는 Windows Server 2003 SP1 이상 버전이 설치되어 있습니다.

• 모든 Windows 2000 기반 도메인 컨트롤러가 업그레이드 또는 제거되었습니다. 도메인에 Windows 2000 Server, Windows Server 2003의 원래 릴리스 버전 및 Windows Server 2003 SP1을 실행하는 도메인 컨트롤러가 혼합되어 있는 경우 다음 시나리오가 발생할 수 있습니다.

• 권한이 없는 클라이언트가 Windows 2000 서버 기반 및 Windows Server 2003 기반 도메인 컨트롤러에 기밀 특성 데이터를 쿼리하는 경우 클라이언트는 데이터를 읽을 수 있습니다.

• 권한이 없는 클라이언트가 Windows Server 2003 SP1 기반 도메인 컨트롤러에 기밀 특성 데이터를 쿼리하는 경우 클라이언트는 데이터를 읽을 수 없습니다. 기본 스키마 특성을 기밀로 표시할 수 없습니다. 직원 ID는 기본 스키마 특성의 예입니다. systemsFlags 특성 값이 0x10(기본 스키마)로 설정되어 있으므로 이 특성을 기밀로 표시할 수 없습니다. 자세한 내용은 "특성이 기본 스키마 특성인지 여부를 확인하는 방법" 섹션 및 "기존 특성을 사용할 때 searchFlags 특성 값을 확인하는 방법" 섹션을 참조하세요.

테스트

Active Directory 및 스키마 확장에 대한 변경 내용을 테스트할 수 있으므로 프로덕션 포리스트를 미러링하는 랩에서 특성 변경 내용을 철저히 테스트하는 것이 좋습니다. 테스트는 프로시저가 원활하게 작동하고 문제가 감지되도록 보장하는 데 도움이 됩니다.

액세스 제어 확인

Windows Server 2003 SP1이 설치되고 Active Directory가 읽기 액세스 검사 수행한 후 Active Directory는 기밀 특성을 확인합니다. 기밀 특성이 존재하고 이러한 특성에 대해 READ_PROPERTY 권한이 설정된 경우 Active Directory에는 특성 또는 해당 속성 집합에 대한 CONTROL_ACCESS 권한이 필요합니다.

Active Directory는 다음과 같은 경우 개체에 대한 읽기 액세스 검사 수행합니다.

• 개체가 검색 필터와 일치하는지 여부를 평가할 때
• 검색 필터와 일치하는 개체의 특성을 반환하는 경우 기본적으로 관리자만 모든 개체에 대한 CONTROL_ACCESS 권한이 있습니다. 따라서 관리자만 기밀 특성을 읽을 수 있습니다. 관리자는 이러한 권한을 모든 사용자 또는 그룹에 위임할 수 있습니다.

제네릭 및 개체별 액세스 제어 항목

Active Directory의 모든 개체에는 연결된 액세스 제어 정보가 있습니다. 이 정보를 보안 설명자라고 합니다. 보안 설명자는 사용자 및 그룹에 사용할 수 있는 액세스 유형을 제어합니다. 보안 설명자는 개체를 만들 때 자동으로 만들어집니다.

보안 설명자의 사용 권한 항목 집합을 DACL(임의 액세스 제어 목록)으로 알려져 있습니다. DACL의 각 권한 항목을 ACE(액세스 제어 항목)라고 합니다.

개체에 대한 권한을 부여하거나 개체에 대한 제네릭 또는 개체별 액세스 제어 항목을 사용하여 기밀 특성에 대한 CONTROL_ACCESS 권한을 부여할 수 있습니다. 개체에 명시적으로 스탬프를 찍거나 상속을 사용하여 권한을 부여할 수 있습니다. 상속은 컨테이너 계층 구조에서 더 높은 컨테이너에 상속 가능한 액세스 제어 항목을 설정한다는 것을 의미합니다.

제네릭 및 개체별 액세스 제어 항목은 기본적으로 동일합니다. 이러한 항목을 구분하는 것은 액세스 제어 항목이 상속 및 개체 액세스를 통해 제공하는 제어 수준입니다. 일반 액세스 제어 항목은 전체 개체에 적용됩니다. 개체별 액세스 제어 항목은 액세스 제어 항목을 상속하는 개체에 대한 더 많은 제어를 제공합니다. 개체별 액세스 제어 항목을 사용하는 경우 액세스 제어 항목을 상속할 개체의 특성 또는 속성 집합을 지정할 수 있습니다.

기밀 특성 기능을 사용하는 경우 사용자에게 일반 액세스 제어 항목을 할당하여 CONTROL_ACCESS 권한이 부여됩니다. 개체별 액세스 제어 항목을 할당하여 CONTROL_ACCESS 권한이 부여되면 사용자는 기밀 특성에 대한 CONTROL_ACCESS 권한만 갖게 됩니다.

일반 액세스 제어 항목을 사용할 때 부여되는 권한은 다음과 같습니다.

• 모든 확장 권한
• 인증 허용
• 암호 변경
• 다음으로 받기
• 암호 재설정
• 다른 사람 이름으로 보내기

일반 액세스 제어 항목을 사용할 때 부여되는 권한은 전체 개체에 대해 원하는 것보다 더 많은 액세스 권한을 제공할 수 있습니다. 이 문제가 있는 경우 액세스 제어 항목이 기밀 특성에만 적용되도록 개체에 대한 개체별 액세스 제어 항목을 설정할 수 있습니다. 개체별 액세스 제어 항목을 사용하는 경우 액세스 제어 항목이 적용되는 속성 또는 속성을 제어할 수 있습니다.

Windows Server 2003의 사용자 인터페이스는 Control_Access 권한을 노출하지 않습니다. Dsacls.exe 도구를 사용하여 일반 액세스 제어 항목을 할당하여 Control_Access 권한을 설정할 수 있습니다. 그러나 이 도구를 사용하여 개체별 액세스 제어 항목을 할당할 수는 없습니다. 개체별 액세스 제어 항목을 할당하여 Control_Access 권한을 설정할 수 있는 유일한 도구는 Ldp.exe 도구입니다.

상속을 사용하는 방법

대규모 도메인에서는 기밀 특성이 있는 모든 개체에 대해 사용자 또는 그룹에 대한 제어 액세스를 수동으로 할당하는 것은 실용적이지 않습니다. 이 솔루션은 상속을 사용하여 컨테이너 계층 구조에서 더 높은 상속 가능한 액세스 제어 항목을 설정하는 것입니다. 이 액세스 제어 항목은 해당 컨테이너의 모든 자식 개체에 적용됩니다.

기본적으로 상속은 기본 제공 관리자 계정을 제외한 모든 OU(조직 구성 단위) 및 모든 사용자 계정에 대해 사용하도록 설정됩니다. 상속을 사용하지 않도록 설정된 사용자 계정을 만들거나 기본 제공 관리자 계정을 복사하여 관리 계정을 만드는 경우 이러한 계정에 대한 상속을 사용하도록 설정해야 합니다. 그렇지 않으면 상속 모델이 이러한 계정에 적용되지 않습니다.

기밀 특성을 만드는 방법

1. 기밀로 표시할 특성을 결정하거나 기밀로 만들 특성을 추가합니다.
2. 사용자가 특성 데이터를 볼 수 있도록 적절한 사용자에게 Control_Access 권한을 부여합니다.

Ldp.exe 도구 및 Adsiedit.msc 도구와 같은 도구를 사용하여 기밀 특성을 만들 수 있습니다. .ldf 파일은 일반적으로 스키마를 확장하는 데 사용됩니다. 이러한 파일을 사용하여 특성을 기밀로 표시할 수도 있습니다. 프로덕션으로 롤아웃할 때 스키마에 추가하는 내용을 정확하게 알 수 있도록 구현을 위해 만든 파일을 테스트 단계에서 조정해야 합니다. .ldf 파일은 오류를 방지하는 데 도움이 될 수 있습니다.

다음 샘플 .ldf 파일을 사용하여 다음을 수행할 수 있습니다.

• 스키마에 특성 추가
• 특성을 기밀로 표시
• 사용자 클래스에 특성 추가

샘플 .ldf 파일

다음 코드는 스키마에 특성을 추가한 다음 특성을 기밀로 표시합니다.

dn: CN=ConfidentialAttribute-LDF,CN=Schema,Cn=Configuration,DC=domain,DC=com
changetype: add
objectClass: attributeSchema
lDAPDisplayName: ConfidentialAttribute
adminDescription: 이 특성은 사용자의 기밀 데이터를 저장합니다.
attributeID: 1.2.840.113556.1.xxxx.xxxx.1.x
attributeSyntax: 2.5.5.12
oMSyntax: 64
isSingleValued: TRUE
showInAdvancedViewOnly: TRUE
searchFlags: 128

Dn:
changeType: 수정
add: schemaupdatenow
schemaupdatenow: 1
-

다음 코드는 사용자 클래스에 새 특성을 추가합니다.

dn: CN=User,CN=Schema,CN=Configuration,DC=domain,DC=com
changetype: modify
추가: mayContain
mayContain: ConfidentialAttribute
-

Dn:
changeType: 수정
add: schemaupdatenow
schemaupdatenow: 1
-

관리자가 아닌 사용자가 특성 데이터를 볼 수 있도록 하는 방법

사용자 계정에 대한 Control_Access 권한을 수동으로 설정하는 방법

1. Windows Server 2003 R2 ADAM에 포함된 Ldp.exe 도구를 엽니다.
2. 디렉터리에 연결하고 바인딩합니다.
3. 사용자 계정을 선택하고 계정을 마우스 오른쪽 단추로 클릭하고 고급을 클릭한 다음 보안 설명자를 클릭한 다음 확인을 클릭합니다.
4. DACL 상자에서 ACE 추가를 클릭합니다.
5. 트러스티 상자에 권한을 부여할 그룹 이름 또는 사용자 이름을 입력합니다.
6. 액세스 제어 상자에서 5단계에서 변경한 내용을 확인합니다.

상속을 사용하여 Control_Access 권한을 할당하는 방법

상속을 사용하려면 기밀 특성이 있는 개체보다 컨테이너 계층 구조에서 더 높은 원하는 사용자 또는 그룹에 Control_Access 권한을 부여하는 액세스 제어 항목을 만듭니다. 이 액세스 제어 항목은 도메인 수준 또는 엔터프라이즈에 적합한 컨테이너 계층 구조의 어느 지점에서나 설정할 수 있습니다. 기밀 특성이 있는 자식 개체는 상속을 사용하도록 설정해야 합니다.

Control_Access 권한을 할당하려면 다음 단계를 수행합니다.

1. Windows Server 2003 R2 ADAM에 포함된 Ldp.exe 파일을 엽니다.

2. 디렉터리에 연결하고 바인딩합니다.

3. 기밀 특성이 있는 개체보다 컨테이너 계층 구조에서 더 높은 OU 또는 컨테이너를 선택하고 OU 또는 컨테이너를 마우스 오른쪽 단추로 클릭하고 고급, 보안 설명자를 클릭한 다음 확인을 클릭합니다.

4. DACL 상자에서 ACE 추가를 클릭합니다.

5. 트러스티 상자에 권한을 부여할 그룹 이름 또는 사용자 이름을 입력합니다.

6. 액세스 제어 상자에서 5단계에서 변경한 내용을 확인합니다.

7. 개체 유형 상자에서 추가한 기밀 특성을 클릭합니다.

8. 대상 개체에서 상속이 사용하도록 설정되어 있는지 확인합니다.

기존 특성을 사용할 때 systemFlags 특성 값을 확인하는 방법

기존 개체를 사용하는 경우 현재 searchFlags 특성 값이 무엇인지 확인해야 합니다. 개체를 추가하는 경우 개체를 추가할 때 값을 정의할 수 있습니다. searchFlags 특성 값을 가져오는 방법에는 여러 가지가 있습니다. 가장 적합한 메서드를 사용합니다.

Ldp.exe 도구를 사용하여 searchFlags 특성 값을 가져오려면 다음 단계를 수행합니다.

1. 시작을 클릭하고 실행을 클릭하고 LDP를 입력한 다음 확인을 클릭합니다.

2. 연결을 클릭한 다음 바인딩을 클릭합니다.

3. 루트 도메인의 관리자로 바인딩하거나 엔터프라이즈 관리자인 계정으로 바인딩합니다.

4. 보기를 클릭한 다음 트리를 클릭합니다.

5. CN=schema,cn=configuration,dc=rootdomain을 클릭한 다음 확인을 클릭합니다.

6. 왼쪽 창에서 CN=schema,cn=configuration,dc=rootdomain을 확장합니다.

7. 기밀로 표시할 특성의 도메인 이름을 찾은 다음 확장합니다.

8. 개체에 대해 채워진 특성 목록에서 searchFlags 를 찾아 해당 개체의 현재 searchFlags 특성 값을 확인합니다.

특성이 기본 스키마 특성인지 여부를 확인하는 방법

특성이 기본 스키마 특성인지 확인하려면 Ldp.exe 도구를 사용하여 systemFlags 특성 값을 검사합니다.

Employee-ID의 LDP 출력 - systemFlags: 0x10 = (FLAG_SCHEMA_BASE_OBJECT)

다음 샘플 Ldp.exe 출력에서 Ldp.exe systemFlags 특성 값을 0x10 및 기본 스키마 특성으로 식별합니다. 따라서 이 특성을 기밀로 표시할 수 없습니다.

>> Dn: CN=Employee-ID,CN=Schema,CN=Configuration,DC=domain,DC=com
2> objectClass: top; attributeSchema;
1> cn: Employee-ID;
1> distinguishedName: CN=Employee-ID,CN=Schema,CN=Configuration,DC=domain,DC=com;
1> instanceType: 0x4 = ( IT_WRITE );
1> whenCreated: <DateTime>;
1> whenChanged: <DateTime>;
1> uSNCreated: 220;
1> attributeID: 1.2.840.113556.1.4.35;
1> attributeSyntax: 2.5.5.12 = ( SYNTAX_UNICODE_TYPE );
1> isSingleValued: TRUE;
1> rangeLower: 0;
1> rangeUpper: 16;
1> uSNChanged: 220;
1> showInAdvancedViewOnly: TRUE;
1> adminDisplayName: Employee-ID;
1> adminDescription: Employee-ID;
1> oMSyntax: 64 = ( OM_S_UNICODE_STRING );
1> searchFlags: 0x0 = ( );
1> lDAPDisplayName: employeeID;
1> 이름: 직원 ID;
1> objectGUID: 64fb3ed1-338f-466e-a879-595bd3940ab7;
1> schemaIDGUID: bf967962-0de6-11d0-a285-00aa003049e2;
1> systemOnly: FALSE;
1> systemFlags: 0x10 = ( FLAG_SCHEMA_BASE_OBJECT );
1> objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=domain,DC=com;

Employee-Number 시스템의 LDP 출력Flags: 0x0 = ( )

다음 샘플 Ldp.exe 출력에서 Ldp.exe systemFlags 특성 값을 0으로 식별합니다. 이 특성은 기밀로 표시될 수 있습니다.

>> Dn: CN=Employee-Number,CN=Schema,CN=Configuration,DC=warrenw,DC=com
2> objectClass: top; attributeSchema;
1> cn: Employee-Number;
1> distinguishedName: CN=Employee-Number,CN=Schema,CN=Configuration,DC=warrenw,DC=com;
1> instanceType: 0x4 = ( IT_WRITE );
1> whenCreated: <DateTime>;
1> whenChanged: <DateTime>;
1> uSNCreated: 221;
1> attributeID: 1.2.840.113556.1.2.610;
1> attributeSyntax: 2.5.5.12 = ( SYNTAX_UNICODE_TYPE );
1> isSingleValued: TRUE;
1> rangeLower: 1;
1> rangeUpper: 512;
1> mAPIID: 35943;
1> uSNChanged: 221;
1> showInAdvancedViewOnly: TRUE;
1> adminDisplayName: Employee-Number;
1> adminDescription: Employee-Number;
1> oMSyntax: 64 = ( OM_S_UNICODE_STRING );
1> searchFlags: 0x0 = ( );
1> lDAPDisplayName: employeeNumber;
1> 이름: 직원 번호;
1> objectGUID: 2446d04d-b8b6-46c7-abbf-4d8e7e1bb6ec;
1> schemaIDGUID: a8df73ef-c5ea-11d1-bbcb-0080c76670c0;
1> systemOnly: FALSE;
1> systemFlags: 0x0 = ( );
1> objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=warrenw,DC=com;

개체 식별자

스키마에 특성 또는 클래스 개체를 추가할 때 필요한 특성 중 하나는 개체 식별자(OID라고도 함)입니다. 개체 식별자는 개체 클래스 및 특성을 고유하게 정의하는 데 사용됩니다. 회사에서 고유한 개체 식별자를 가져와 특성을 식별해야 합니다. Oidgen.exe 도구와 같은 개체 식별자를 생성하는 도구는 지원되지 않습니다. Microsoft에서 개체 식별자를 가져오려면 다음 Microsoft 웹 사이트를 방문하세요.
Microsoft에서 개체 식별자 가져오기

특성 구문

또한 스키마에 새 개체를 추가하려면 attributeSyntax 특성이 필요합니다. 이 특성은 속성 형식 비교를 위한 스토리지 표현, 바이트 순서 지정 및 일치 규칙을 정의합니다. 구문은 특성 값이 문자열, 숫자 또는 시간 단위여야 하는지 여부를 정의합니다. 모든 개체의 각 특성은 정확히 하나의 구문과 연결됩니다. 새 특성에 대한 올바른 특성 구문을 선택해야 합니다. 이는 LDAP(Lightweight Directory Access Protocol) 디렉터리를 다른 LDAP 디렉터리와 동기화하는 경우에 특히 중요합니다. 특성이 스키마에 추가되면 해당 특성 구문을 변경할 수 없습니다.

attributeSyntax 특성에 대한 자세한 내용은 Attribute-Syntax 특성을 참조하세요.

자세한 내용은 Search-Flags 특성을 참조하세요.