Windows Explorer 폴더 액세스에 대해 계속을 선택하면 사용자 계정이 폴더의 ACL에 추가됩니다.

이 문서에서는 읽기 권한이 없는 파일 시스템 폴더에 대한 액세스 권한을 얻기 위해 계속 을 선택할 때 발생하는 문제에 대한 해결 방법을 제공합니다.

적용 대상: Windows 10 - 모든 버전, Windows Server 2012 R2
원래 KB 번호: 950934

소개

이 문서에서는 Windows Explorer 읽기 권한이 없는 파일 시스템 폴더에 대한 액세스 권한을 얻기 위해 계속을 선택하라는 메시지를 표시하는 시나리오를 설명합니다. 또한 이 동작의 특정 측면을 방지하기 위한 해결 방법을 설명합니다. 이 문제는 Windows Vista 이상 버전의 Windows 및 Windows Server 2008 이상 버전의 Windows Server에서 발생합니다. Windows Explorer Windows 8 이상 버전에서 파일 탐색기 호출됩니다.

추가 정보

UAC(사용자 계정 컨트롤)가 사용하도록 설정되어 있고 Windows Explorer 사용하여 읽기 권한이 없는 폴더에 액세스한다고 가정합니다. 또한 폴더는 Hidden 및 System 특성으로 표시되지 않습니다. 이 경우 Windows Explorer 다음 메시지를 표시하는 대화 상자를 표시합니다.

현재 이 폴더에 액세스할 수 있는 권한이 없습니다. 이 폴더에 영구적으로 액세스하려면 계속을 클릭합니다.

그런 다음 계속 또는 취소를 선택할 수 있습니다. (계속은 기본적으로 선택되어 있습니다.) 계속을 선택하면 UAC가 사용자를 대신하여 관리 권한을 얻으려고 시도합니다. UAC 권한 상승 프롬프트의 동작을 제어하는 UAC 보안 설정과 관리자 그룹의 구성원인지 여부에 따라 동의 또는 자격 증명을 묻는 메시지가 표시될 수 있습니다. 또는 메시지가 전혀 표시되지 않을 수 있습니다. UAC가 관리 권한을 얻을 수 있는 경우 백그라운드 프로세스는 폴더 및 모든 하위 폴더 및 파일에 대한 권한을 변경하여 사용자 계정에 액세스 권한을 부여합니다. Windows Vista 및 Windows Server 2008에서 백그라운드 프로세스는 사용자 계정에 읽기 및 실행 권한을 부여합니다. 이후 버전의 Windows에서 이 프로세스는 사용자 계정에 모든 권한을 부여합니다.

이것은 의도적으로 설계된 동작입니다. 그러나 UAC 권한 상승의 일반적인 패턴은 관리자 권한으로 관리자 권한 프로그램의 instance 실행하는 것이기 때문에 사용자는 계속을 선택하여 Windows Explorer 상승된 instance 생성하고 파일 시스템 권한을 영구적으로 변경하지 않을 것으로 예상할 수 있습니다. 그러나 Windows Explorer 디자인은 대화형 사용자 세션의 다양한 보안 컨텍스트에서 여러 프로세스 인스턴스의 실행을 지원하지 않으므로 이러한 기대는 불가능합니다.

UAC를 사용하지 않도록 설정하면 UAC 권한 상승이 불가능합니다. Windows Explorer 포함하여 Administrators 그룹의 구성원이 실행하는 모든 프로그램에는 항상 관리 권한이 있습니다. 따라서 관리자는 권한 상승을 사용하여 관리 권한이 필요한 리소스에 액세스할 필요가 없습니다. 예를 들어 폴더가 Administrators 그룹 및 시스템 계정에 대한 액세스 권한만 부여하는 경우 관리자는 폴더의 사용 권한을 변경하라는 메시지가 표시되지 않고 직접 찾아볼 수 있습니다. 사용자에게 읽기 권한이 없는 경우 Windows Explorer 앞에서 설명한 대화 상자를 표시합니다. 그러나 UAC를 사용하지 않도록 설정한 경우 Windows는 UAC 권한 상승 프롬프트를 통해 사용자에 대한 관리 자격 증명을 요청할 수 없습니다. 따라서 Windows는 파일 시스템 권한을 변경하는 관리 권한이 있는 백그라운드 프로세스를 시작하지 않습니다.

그러나 사용자가 계속 을 선택하고 폴더의 현재 보안 설명자가 개체의 권한을 읽고 변경할 수 있는 권한을 사용자에게 부여하는 경우 Windows는 사용자의 현재 보안 컨텍스트에서 백그라운드 프로세스를 시작하고 폴더의 권한을 수정하여 앞에서 설명한 대로 사용자에게 더 많은 액세스 권한을 부여합니다. 사용자는 개체 소유권 또는 개체의 ACL(액세스 제어 목록)에서 개체의 권한을 읽고 변경할 수 있는 권한이 있을 수 있습니다.

알려진 문제

이 기능은 예기치 않은 동작을 일으킬 수 있습니다. 예를 들어 관리자 그룹에 속해 있고 Windows Explorer 사용하여 관리 액세스가 필요한 폴더에 액세스한다고 가정합니다. 권한이 변경된 후 사용자 계정을 통해 실행되는 모든 프로그램은 프로그램이 상승되지 않고 관리자 그룹에서 계정이 제거된 후에도 폴더를 완전히 제어할 수 있습니다. 이러한 변경된 권한은 organization 보안 정책을 위반할 수 있으며 보안 감사에 플래그가 지정될 수 있습니다. 또한 프로그램이 파일 시스템 권한을 확인하는 경우 권한이 변경된 경우 실행을 거부할 수 있습니다.

UAC는 Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하지 않도록 설정하는 방법에 설명된 제한된 상황을 제외하고 모든 경우에 사용하도록 설정되어야 합니다.

해결 방법 1

관리자만 액세스할 수 있는 폴더의 사용 권한을 변경하지 않도록 하려면 Windows Explorer 사용하는 대신 관리자 권한으로 실행할 수 있는 다른 프로그램을 사용하는 것이 좋습니다. 예를 들어 공유 관리를 위한 명령 프롬프트, PowerShell 및 컴퓨터 관리 MMC 스냅인이 있습니다.

해결 방법 2

일반 사용자가 액세스하지 못하도록 잠겨 있는 애플리케이션별 폴더가 있는 경우 사용자 지정 그룹에 대한 권한을 추가한 다음 해당 그룹에 권한 있는 사용자를 추가할 수도 있습니다. 예를 들어 애플리케이션별 폴더가 관리자 그룹 및 시스템 계정에 대한 액세스 권한만 부여하는 시나리오를 고려해 보세요. 이 경우 도메인 또는 로컬 AppManagers 그룹을 만든 다음 권한 있는 사용자를 추가합니다. 그런 다음, icacls.exe, 폴더의 속성 대화 상자의 보안 탭 또는 PowerShell Set-Acl cmdlet과 같은 유틸리티를 사용하여 기존 권한 외에도 AppManagers 그룹에 폴더의 모든 권한을 부여합니다.

AppManagers의 구성원인 사용자는 Windows Explorer 사용하여 UAC가 폴더의 권한을 변경하지 않고도 폴더를 탐색할 수 있습니다. 이 대안은 애플리케이션별 폴더에만 적용됩니다. 와 같이 C:\Windows\ServiceProfilesWindows 운영 체제의 일부인 폴더에 대한 사용 권한을 변경해서는 안 됩니다.