보안이 강화된 리디렉션된 폴더 또는 홈 폴더를 동적으로 만드는 방법

  • 아티클

이 문서에서는 보안이 강화된 리디렉션된 폴더 또는 홈 폴더를 동적으로 만드는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원래 KB 번호: 274443

요약

Microsoft Windows Server Active Directory 관리자 권한으로 폴더 리디렉션을 사용하여 데스크톱을 사용자 지정하거나 서버 기반 홈 폴더를 할당할 수 있습니다. 또한 Active Directory 및 그룹 정책 사용하여 다음 폴더를 리디렉션할 수 있습니다.

  • 애플리케이션 데이터
  • 데스크톱
  • 내 문서
  • 내 문서/내 사진
  • 시작 메뉴

폴더 리디렉션에 대한 Windows 도움말을 검색하여 폴더 리디렉션에 대한 자세한 정보를 찾을 수 있습니다.

폴더를 네트워크의 공유 위치로 리디렉션하는 경우 이러한 폴더의 내용을 읽을 수 있도록 이 위치에 대한 읽기 및 쓰기 액세스가 모두 필요합니다. 그러나 일부 시나리오에서는 다른 사용자에게 읽기 권한을 부여하지 않을 수 있습니다.

보안 강화 리디렉션된 폴더 만들기

사용자와 도메인 관리자만 특정 리디렉션된 폴더를 열 수 있는 권한이 있는지 확인하려면 다음 단계를 수행합니다.

  1. 폴더 리디렉션을 저장할 환경의 중앙 위치를 선택한 다음, 이 폴더를 공유합니다. 이 예제에서는 FLDREDIR 및 HOMEDIR이 사용됩니다.

  2. 모든 사용자 그룹에 대한 공유 권한을모든 권한으로 설정합니다.

  3. NTFS 권한에 대해 다음 설정을 사용합니다.

    • CREATOR OWNER - 모든 권한(적용 대상: 하위 폴더 및 파일만 해당)
    • 시스템 - 모든 권한(적용 대상: 이 폴더, 하위 폴더 및 파일)
    • 도메인 관리자 - 모든 권한(적용 대상: 이 폴더, 하위 폴더 및 파일)
    • 모든 사용자 - 폴더/추가 데이터 만들기(적용 대상: 이 폴더에만 해당)
    • 모든 사용자 - 폴더 나열/데이터 읽기(적용 대상: 이 폴더만 해당)
    • 모든 사용자 - 읽기 특성(적용 대상: 이 폴더에만 해당)
    • 모든 사용자 - 폴더 트래버스/파일 실행(적용 대상: 이 폴더만 해당)

  4. Windows 도움말에 설명된 대로 폴더 리디렉션 정책을 구성합니다. 비슷한 \\server\FLDREDIR\%username% 경로를 사용하여 공유 폴더 FLDREDIR 아래에 폴더를 만듭니다.

    와 같은 \\server\HOMEDIR\%username%홈 폴더가 있는 템플릿 사용자를 복사하여 홈 폴더 "HOMEDIR"을 비슷한 방식으로 구성하거나 해당 이름으로 사용자 및 폴더를 만들 수도 있습니다.

    참고

    홈 폴더의 경우 사용자에 대한 홈 폴더를 추가할 때 Active Directory 사용자 및 컴퓨터 폴더를 만들기 때문에 시나리오가 일반적이지 않습니다. 그러나 사용자 지정 프로비저닝을 사용하는 경우 Active Directory 사용자 및 컴퓨터 폴더를 만들지 않습니다. 따라서, 당신은 혼자서 그것을 할 수 있습니다.

이러한 권한이 공유 폴더의 보안을 개선하는 데 도움이 되는 이유

모든 사용자 그룹에 폴더/추가 데이터 만들기 권한이 있으므로 그룹 구성원은 폴더를 만들 수 있는 적절한 권한을 갖습니다. 그러나 멤버는 나중에 데이터를 읽을 수 없습니다. 사용자 이름 그룹은 폴더를 만들 때 로그온한 사용자의 이름입니다. 폴더는 부모 폴더의 자식이므로 FLDREDIR에 할당한 권한을 상속합니다. 또한 사용자가 폴더를 만들기 때문에 작성자 소유자 권한 설정으로 인해 사용자가 폴더를 완전히 제어할 수 있습니다.

추가 정보

이 문서는 처음에 Windows Server 2003용으로 작성되었으며 CreatorOwner에 대한 ACE(액세스 제어 항목)가 다음으로 변환되었을 수 있습니다.
<Folder-User> - 모든 권한(적용 대상: 이 폴더, 하위 폴더 및 파일)

그러나 이런 일이 일어났다는 증거는 없습니다. 문서의 이전 버전은 ACL(액세스 제어 목록)의 결과를 멘션 않으며, 이 문서를 위해 작성된 운영 체제 버전은 더 이상 지원되지 않습니다.

2017년 5월 말까지 지원되는 모든 운영 체제는 ACE를 다음으로 변환했습니다.
<Folder-User> - 모든 권한(적용 대상: 이 개체에만 해당)

그러나 이는 사용자에 대한 폴더의 일일 작업에는 영향을 주지 않습니다. 관리자가 홈 폴더 또는 리디렉션된 폴더의 내용을 작업해야 하는 경우 차이가 발생합니다.

사용자가 모든 자식 개체에 대해 상속 가능한 모든 권한을 얻도록 하려면 다음을 수행해야 합니다.

  1. 사용자 samaccountname에 대한 일치하는 폴더를 직접 만듭니다.

  2. 폴더에 필요한 사용 권한을 설정하고 위의 모든 API를 생략하고 ACE가 있는지 확인합니다.

    <Folder-User> - 모든 권한(적용 대상: 이 폴더, 하위 폴더 및 파일)

참조

자세한 내용은 폴더 리디렉션 개요를 참조하세요.