당사는 당사 웹페이지를 개선하기 위해 쿠키를 사용합니다. 당사의 쿠키 정책 을 읽으십시오.

NAS 471

WindowsACL소개

Windows ACL을 사용하여 ASUSTOR NAS에 대한 데이터 액세스 권한을 관리하는 방법에 대해 설명합니다.

2024-05-31

강좌 목표

이 강좌를 마치면 다음을 할 수 있게 됩니다.

  1. 아수스토어 NAS로 Windows ACL을 사용하는 기본 원칙을 이해할 수 있습니다.
  2. Windows ACL을 사용하여 아수스토어 NAS의 데이터 액세스 권한을 권리할 수 있습니다.

전제 조건

강좌를 위한 전제 조건:

NAS 106: Microsoft Windows에서 NAS 사용법

학생들이 갖추어야 할 것으로 기대되는 실용적 지식:

공유 폴더, 액세스 제어


요약

1. Windows ACL 소개

1.1 Windows ACL을 활성화해야합니까?

2. Windows ACL 구성

2.1 Windows ACL 활성화

2.2 ADM 파일 탐색기로 Windows ACL 사용 권한 구성

2.3 Windows 탐색기로 Windows ACL 권한 구성

2.4 Windows ACL 권한 규칙 및 예방 조치

2.5 ACL 권한을 유지하면서 객체를 NAS로 이동





1. Windows ACL 소개

Windows ACL은 특정 사용자 및 그룹에 적용할 수 있는 NTFS 파일 시스템용으로 마이크로 소프트에서 고안한 13가지 유형의 파일 사용 권한입니다. 이러한 유형의 인프라 내에서 관리자는 보다 자세하고 정확한 액세스 권한 구성을 만들수 있습니다.

또한 기업에서 널리 사용되는 Windows AD 도메인 인프라에서 Windows ACL 사용 권한은 도메인의 모든 사용자 및 그룹에 적용될 수 있습니다. 사용자는 네트워크의 컴퓨터를 사용하여 로그인할 수 있으며 동일한 계정 이름을 사용하는 한 모든 권한은 동일하게 유지됩니다. IT직원은 개별 서버 및 PC 워크 스테이션마다 권한을 구성할 필요가 없으므로 관리 효율성이 크게 향상됩니다.

아수스토어 NAS를 AD도메인과 보다 밀접하게 통합하고 IT관리를 단순화하며 생산성을 높이기위해 아수스토어는 Windows ACL 권한 시스템과 긴밀하게 통합하여 다음과 같은 고유한 기능을 제공합니다.:

  1. 개별 공유 폴더에 대해 Windows ACL을 활성화하는 기능.
  2. 모든 13가지 Windows ACL을 활성화하는 기능.
  3. ADM 내에서 Windows ACL 유효 사용 권한을 자세히 볼 수 있는 기능.
  4. 네트워크 사용자 및 그룹 지원.
  5. Samba, 파일 탐색기, AFP, FTP, WebDAV, Rsync 파일 전송 프로토콜에 ACL권한을 적용하는 기능.


1.1 Windows ACL을 활성화해야합니까?

이전 섹션에서 설명한 것처럼 Windows ACL은 NAS 및 Windows(NAS가 Windows AD 도메인에 추가된 경우)의 모든 사용자 및 그룹에 적용할 수 있는 최대 13가지 권한 설정을 제공합니다. 부적절한 계획이나 권한 구성의 경우 모든 사용자가 특정 폴더나 파일에 액세스하지 못할 수 있습니다. 이러한 유형의 오류는 관리자 계정을 사용하여 해결할 수 있지만 문제가 처음 발생했을 때 부터 해결될 때까지 낭비되는 시간은 기업에 상당한 비용으로 인식될 수 있습니다.

ASUSTOR NAS는 Linux 운영 체제를 기반으로 개발되었으므로 ADM의 기본 설정은 Linux 권한 관리 메커니즘을 사용합니다.

  • 적용 가능한 권한 : RW (읽기 및 쓰기), RO (읽기 전용), DA (액세스 거부)
  • 권한은 "소유자", 소유자가 속한 그룹 및 "기타"에 적용될 수 있습니다.

옵션 수가 적으면 간단하게 구성할 수 있습니다. 그러나 사용 권한의 유연성과 조정 가능성은 매우 제한적입니다. 예를 들어 Linux 권한 메커니즘을 사용하는 경우 사용자에게 파일을 편집할 권한을 부여하지 않고 파일을 편집할 수는 없습니다.

제한된 수의 가족 및 친구와만 NAS를 사용하는 경우 ADM의 원래 권한 관리 메커니즘을 사용하는 것이 좋습니다. 그러나 NAS를 비지니스 데이터 저장소로 사용하는 경우 먼저 IT 직원과 상의하여 Windows ACL 사용 권한을 사용하는 것이 적절한지 결정한 후 사용 권한 결정 배포 계획을 완료하는 것이 좋습니다.

단일 공유 폴더에 대해 Windows ACL을 사용하거나 사용하지 않도록 설정할 수 있는 유연성을 제공하여 평가 및 계획에 매우 유용합니다. 테스트를 위해 공유 폴더를 만들고 Windows ACL을 사용하도록 설정한 다음 사용 권한 설정을 구성할 수 있습니다. 그 다음에는 결과가 예상 가능한 결과인지 확인할 수 있습니다. 필요한 결과를 얻은 다음 원하는 공유 폴더에 설정을 적용할 수 있습니다. 이를 통해 중요한 데이터에 대한 액세스를 거부할 수 있는 계획상의 실수 또는 오류를 피할 수 있으며 비지니스 운영에 영향을 미칠 수 있습니다..




2. Windows ACL 구성


2.1 Windows ACL 활성화


새 공유 폴더 만들기:

  • 웹 브라우저를 사용하여 관리자 계정으로 ADM에 로그인하십시오.
  • 액세스 제어공유 폴더를 선택합니다.
  • 추가를 클릭합니다.


  • 새 폴더의 이름을 입력합니다. [다음]을 클릭합니다.


  • 공유 폴더에 대한 액세스 권한을 설정한 후 [Windows ACL 사용]확인란을 선택하고 [다음]을 클릭하십시오.

    참고: 공유 폴더 액세스 권한은 권한 검사의 첫번째 계층입니다. 사용자 또는 그룹이 여기에서 '읽기 및 쓰기'권한이 할당되어 있지 않으면 할당된 Windows ACL 권한이 차단됩니다. 따라서 Windows ACL이 설정된 공유 폴더에 대해 좀 더 관대한 액세스 권한을 구성한 다음 나중에 Windows ACL을 사용하여 특정 권한을 나중에 추가로 구성하는 것이 좋습니다.


  • [건너뛰기]를 선택하고 [다음]을 클릭하세요.


  • 설정을 확인한 후 [마침]을 클릭합니다.


기존 공유 폴더에 대해 Windows ACL 사용:

  • 액세스 제어공유 폴더를 선택합니다.
  • Windows ACL을 활성화하려는 공유 폴더를 선택한 후 [편집]을 클릭합니다.


  • [Windows ACL]을 선택합니다.
  • [Windows ACL 사용]를 선택한 후 [닫기]를 클릭합니다.

Windows ACL 정보

  1. 공유 폴더에 대해 Windows ACL을 사용하도록 설정하면 공유 폴더와 그 안에있는 모든 하위 폴더 및 파일 내용에 사용자 또는 그룹 권한이 할당 될 수 있습니다.
  2. 다음 공유 폴더는 홈, 사용자 홈, 사진 갤러리, 웹, 감시, MyArchive, 네트워크 휴지통, 가상 장치, 외부 장치 (USB 하드 드라이브, 광학 드라이브)와 같은 Windows ACL 사용 권한을 지원하지 않습니다.
  3. Windows ACL를 사용 설정하면 ADM의 파일 탐색기 또는 Microsoft Windows 탐색기를 사용하여 권한을 구성할 수 있습니다. Windows ACL을 사용 중지하면, ADM의 파일 탐색기에서만 권한을 구성할 수 있습니다.
  4. WindowsACL을 사용하도록 설정한 후 나중에 사용하지 않기로 결정한 경우 모든 파일 및 폴더에 대한 읽기 및 쓰기 권한이 있는 모든 파일과 폴더가 다시 할당됩니다.
  5. Windows ACL 사용 여부와 관계없이, 파일에 액세스하려면 사용자에게 공유 폴더 및 파일 사용 권한이 있어야 합니다.


2.2 ADM 파일 탐색기로 Windows ACL 사용 권한 구성


  • ADM 데스크탑에서 [파일 탐색기]를 선택합니다.
  • Windows ACL을 사용하도록 설정한 공유 폴더(또는 하위 폴더/ 파일)를 선택합니다. 공유 폴더에 마우스 오른쪽 버튼으로 클릭한 다음 [등록 정보]를 선택하십시오.


  • [권한]탭을 선택하십시오. 여기에서 폴더에 대해 현재 구성된 사용 권한을 볼 수 있습니다. 또한 본 페이지에서 폴더에 대한 사용 권한을 관리할 수도 있습니다.


공유 폴더에 대해 windows ACL을 활성화하면 시스템 기본적으로 “Everyone”, “administrators” 및 “admin”계정에 '읽기 및 쓰기는 가능하지만 삭제할 수 없음' 권한을 할당합니다. 이러한 권한은 공유 폴더에만 적용되며 아래의 개체에상속되지 않습니다. 이러한 기본 권한은 [편집] 또는 [제거]버튼을 사용하여 수정할 수 있습니다.

참고: 개별 파일 또는 폴더에서 최대 250개의 Windows ACL 권한(상속된 권한 포함)을 사용할 수 있습니다.


  • 이 개체의 상위에서 상속 가능한 권한 포함:
    이 옵션은 기본적으로 사용됩니다. 시스템은 자동으로 하위 폴더와 파일을 구성하여 위의 개체로부터 사용 권한을 상속합니다. 이 옵션을 사용하지 않도록 설정하면 상속되는 모든 사용 권한이 거부되며 새로 추가된 사용 권한만 유지됩니다.
  • 모든 하위 개체 사용 권한을 이 개체의 상속 가능한 사용권한으로 변경:
    이 옵션을 사용하면 모든 하위 폴더 및 파일 사용 권한이 상위 개체의 사용 권한으로 바뀝니다.

본 페이지에서 사용할 수 있는 관리 기능은 다음과 같습니다.:

추가:

  • [추가]버튼을 클릭하여 개체에 대한 새 사용 권한을 생성합니다.


  • 사용자 또는 그룹:
    권한을 적용할 사용자 또는 그룹을 지정합니다.


  • 유형:
    [허용]또는 [거부]를 선택하여 사용자나 그룹에게 권한을 부여하거나 거부합니다.
  • 적용 대상:
    이 옵션은 폴더에 사용 권한을 추가할 때만 나타납니다. 드롭 다운 메뉴에서 권한을 적용할 위치를 선택할 수 있습니다. 권한을 적용할 방법은 [개체에 권한 적용]을 선택할지 여부에 따라 결정됩니다.
  • 컨테이너 내의 개체 또는 컨테이너에만 권한이 적용합니다.:
    • 옵션이 선택 취소된 경우:
      적용 현재 폴더에 권한 적용 현재 폴더 내의 하위 폴더에 권한 적용 현재 폴더 내의 파일에 권한 적용 모든 후속 하위 폴더에 사용 권한을 적용 모든 후속 하위 폴더 내의 파일에 사용 권한 적용
      이 폴더에만
      이 폴더, 하위 폴더 및 파일
      이 폴더 및 하위 폴더
      이 폴더 및 파일
      하위 폴더 및 파일
      하위 폴더 만
      파일만
    • 옵션을 선택한 경우:
      적용 현재 폴더에 권한 적용 현재 폴더 내의 하위 폴더에 권한 적용 현재 폴더 내의 파일에 권한 적용 모든 후속 하위 폴더에 사용 권한을 적용 모든 후속 하위 폴더 내의 파일에 사용 권한 적용
      이 폴더에만
      이 폴더, 하위 폴더 및 파일
      이 폴더 및 하위 폴더
      이 폴더 및 파일
      하위 폴더 및 파일
      하위 폴더 만
      파일만

13가지 유형의 Windows ACL 권한이 아래에 설명되어 있습니다.

  • 폴더 트래버스/파일 실행: Traverse Folder에서는 폴더 이동 권한이 없는 사용자도 폴더에 액세스할 수 있도록 허용하거나 거부합니다.(폴더에만 적용) 파일 실행은 실행 중인 프로그램 파일을 허용하거나거부합니다.(파일에만 적용됨)
  • 폴더 목록 및 읽기 데이터: 목록 폴더에서는 폴더 내의 파일 이름 및 하위 폴더 이름을 볼 수 있거나 볼 수 없습니다. (폴더에만 적용됨), 읽기 데이터는 파일의 데이터를 볼 수 있도록 허용하거나 거부합니다.(파일에만 해당)
  • 읽기 특성: 읽기 전용, 숨김, 압축, 및 암호화된 파일이나 폴더의 특성을 보는 것을 허용하거나 거부합니다.
  • 확장 특성 읽기: 파일 또는 폴더의 확장 특성 보기를 허용하거나 거부합니다. 확장 특성은 프로그램에 의해 정의되며 프로그램에 따라 달라질 수 있습니다.
  • 파일 만들기/ 작성 파일 만들기: 파일 만들기 폴더 내에서 파일 생성을 허용하거나 거부합니다.(폴더에만 적용) 데이터 쓰기는 파일을 변경하고 기존 컨텐츠를 덮어쓰는 것을 허용하거나 거부합니다.(파일에만 적용)
  • 폴더 만들기/ 데이터 추가: 폴더 만들기는 폴더 내에서 폴더 만들기를 허용하거나 거부합니다.(폴더에만 적용됨) 추가 데이터는 파일 끝에변경을 허용하거나 거부하지만 기존 데이터를 변경, 삭제 또는 덮어 쓰지 않도록 합니다.(파일에만 적용)
  • 쓰기 특성: 파일 또는 폴더의 특성 변경을 허용하거나 거부합니다.
  • 확장 특성 쓰기: 파일이나 폴더의 확장된 특성을 변경하는 것을 허용하거나 거부합니다. 확장 속성은 프로그램에 의해 정의되며 프로그램에 따라 다를 수 있습니다.
  • 하위 폴더 및 파일 삭제: 하위 폴더 또는 파일(폴더에만 적용)에 대한 삭제 권한이 부여되지 않은 경우에도 하위 폴더 및 파일 삭제를 허용하거나 거부합니다.
  • 삭제: 파일 또는 폴더 삭제를 허용하거나 거부합니다.
  • 읽기 권한: 파일 또는 폴더의 읽기 권한을 허용하거나 거부합니다.
  • 권한 변경: 파일 또는 폴더의 권한 변경을 허용하거나 거부합니다.
  • 소유권 가져오기: 파일 또는 폴더의 소유권을 허용하거나 거부합니다. 파일이나 폴더의 소유자는 파일이나 폴더를 보호하는 기존 사용 권한과 상관없이 항상 사용 권한을 변경할 수 있습니다.

편집:

  • 권한을 선택하고 [편집]버튼을 클릭하면 권한을 수정할 수 있습니다.



제거:

  • 권한을 선택하고 [제거]를 클릭하면 현재 개체에서 권한이 제거됩니다.

유효 사용 권한:

  • [유효 사용 권한] 버튼을 클릭하고 목록에서 사용자를 선택하면 지정된 폴더 또는 파일과 관련하여 사용자의 유효 사용 권한을 볼 수 있습니다. 유효 사용 권한은 Windows ACL 사용 권한과 공유 폴더 액세스 권한의 조합으로 결정됩니다.



2.3 Windows탐색기로 Windows ACL 권한 구성

먼저 Windows 관리자 계정을 사용하여 Windows ACL 사용 공유 폴더를 네트워크 드라이브로 매핑하십시오. 자세한 내용은 NAS 106: Microsoft Windows에서 NAS 사용법를 참조하십시오.


  • 공유 폴더 내의 파일 또는 하위 폴더를 마우스 오른쪽 버튼으로 클릭한 다음 [등록 정보]를 선택합니다.


  • [보안]탭을 선택하십시오. 여기에서는 파일 및 하위 폴더에 대한 사용자 및 그룹 목록 및 ACL사용 권한을 볼 수 있습니다.


개체가 상위에서 동시에 상속된 사용 권한과 명시적 사용 권한을 동시에 가지고 있는 경우 상속된 사용 권한은 회색으로 표시되고 명시적 사용 권한은 검정으로 확인됩니다.


  • [편집] [추가]를 클릭하십시오.


  • [이 위치에서~]필드에서 다음 정보가 표시되야 합니다.
    • NAS가 Windows AD 도메인에 추가된 경우 AD 도메인 이름이 표시됩니다.
    • NAS가 Windows AD 도메인에 추가되지 않은 경우 NAS의 IP주소가 표시됩니다.


  • [선택할 대상 이름 입력] 필드에 다음 정보를 입력하십시오.
    • NAS가 Windows AD 도메인에 추가된 경우 도메인 사용자 또는 그룹 이름을 입력한 다음 [이름 확인]을 클릭하여 사용자/그룹 이름을 확인하십시오. 그런 다음 [확인]을 클릭하십시오.
    • NAS가 Windows AD 도메인에 추가되지 않은 경우 ADM 로컬 사용자 또는 그룹 이름을 입력한 다음 [이름 확인]을 클릭하여 사용자/ 그룹 이름을 확인 후 [확인]을 클릭하십시오.


  • 이제 새로 추가된 사용자 또는 그룹을 [그룹 또는 사용자 이름] 목록에서 확인할 수 있습니다. 사용자 또는 그룹을 선택한 다음 [허용] 및 [거부]확인란을 사용하여 개체에 대한 액세스 권한을 구성합니다. 완료되면 [적용]을 클릭하십시오.



2.4 Windows ACL 권한 규칙 및 예방 조치


ACL 충돌 ACL 권한:

  • 충돌하는 Windows ACL권한이 있는 경우 개체의 명시적 권한에 우선 순위가 부여됩니다. 예를 들어 testuser 사용자가 파일에 대해 '읽기 및 실행 허용' 권한을 상속하지만 파일에 대해 명시적 권한이 '거부및실행 거부'인 경우 testuser은 파일에 액세스할 수 없습니다.
  • 반대로 testuser이 '읽기 거부'권한을 상속하지만 파일에 부여된 명시적 권한이 “읽기 허용”이라면 testuser은 그 파일에 액세스 할 수 있습니다.



파일 및 폴더 이동 규칙:

복사 이동
동일한 공유 폴더 내에서 이동 A1. ACL 비활성화됨 기존 사용 권한 유지 기존 사용 권한 유지
A2. ACL 활성화됨
  • 원본 폴더에서 상속된 ACL 사용 권한 제거
  • 명시적 ACL 사용 권한 제거
  • 대상 폴더에서 상속된 ACL 사용 권한 적용
  • 원본 폴더에서 상속된 ACL 사용 권한 제거
  • 명시적 ACL 사용 권한 유지
  • 대상 폴더에서 상속된 ACL 사용 권한 적용
다른 공유 폴더 내에서 이동 B1. ACL 비활성화됨 ACL 비활성화됨 기존 사용 권한 유지 기존 사용 권한 유지
B2. ACL 비활성화됨 ACL 활성화됨 대상 폴더에서 상속된 ACL 사용 권한 적용 대상 폴더에서 상속된 ACL 사용 권한 적용
B3. ACL 활성화됨 ACL 비활성화됨
  • 모든 ACL 권한 제거
  • 권한은 '모든 사용자에게 전체 액세스 권한'으로 재설정됩니다
  • 모든 ACL 권한 제거
  • 권한은 '모든 사용자에게 전체 액세스 권한'으로 재설정됩니다
B4. ACL 활성화됨 ACL 활성화됨
  • 원본 폴더에서 상속된 ACL 사용 권한 제거
  • 명시적 ACL 사용 권한 제거
  • 대상 폴더에서 상속된 ACL 사용 권한 적용
  • 원본 폴더에서 상속된 ACL 사용 권한 제거
  • 명시적 ACL 사용 권한 제거
  • 대상 폴더에서 상속된 ACL 사용 권한 적용

예외: ACL 사용 공유 폴더에서 데이터를 삭제하고 네트워크 휴지통으로 이동하면 위의 차트에서 'B3'의 규칙이 적용되지 않습니다. 이는 '액세스 거부'권한이 있는 파일을 삭제하고 네트워크 휴지통으로 이동한 다음 모든 사용자가 완전히 액세스 할 수 없도록 하는 것입니다. 개인 정보 보호 및 보안을 고려하여 네트워크 휴지통으로 이동한 ACL 사용 폴더의 파일에는 '소유자에 대한 일기 및 쓰기'권한이 할당되고 다른 모든 사용자에게는 엑세스 거부 권한이 할당됩니다.


파일 삭제 권한:

파일 삭제와 관련된 두가지 권한이 있습니다.:

  1. 사용자가 파일에 대한 명시적 '삭제'권한을 가지고 있습니다.
  2. 사용자는 파일의 상위 폴더에 대해 '하위 폴더 및 파일 삭제'권한을 가집니다.

위의 사용 권한 중 하나라도 '거부'로 구성되어 있으면 사용자가 파일을 삭제할 수 없습니다. 위의 사용 권한 중 어느 것도 '거부'로 구성되지 않았고 적어도 하나만 '허용'으로 구성되어 있는 경우에 사용자가 파일을 삭제할 수 있습니다.


객체의 접근 권한:

공유 폴더에 대해 Windows ACL을 사용하도록 설정하면 폴더에 포함된 각 개체(하위 폴더 및 파일)에 대한 액세스 권한이 부여됩니다.

  • ADM 파일 탐색기에서 개체를 선택하고 마우스 오른쪽 단추로 클릭한 다음 [속성]을 선택하여 개체에 대한 액세스 권한을 볼 수 있습니다. [일반]탭의 [공유 폴더 액세스 권한]섹션에 편집 링크가 있습니다.



액세스 권한이 있는 사람은 ACL 권한을 구성할 수 있습니다. 예를 들어, 위 그림에서 admin 사용자는 ACL_Test 폴더의 소유자입니다. 따라서 admin는 폴더와 하위 폴더 및 파일에 대한 ACL 사용 권한을구성할 수 있습니다.
새로 추가된 모든 대상에 대해 대상 작성자는 기본적으로 액세스 권한으로 설정됩니다. 또한 관리자 그룹의 사용자는 액세스 권한을 수정할 수 있습니다. 예를 ACL_Test폴더의 소유권을 다른 사용자(예:testuser)에게 양도하려는 경우 admin와관리자 그룹의 모든 사용자는 소유권을 이전할 수 있습니다. testuser이 ACL_Test폴더의 소유자가 되면원래는 자신이 액세스 권한이 없는 경우에도 하위 폴더 및 파일에 대한 사용 권한을 다시 구성할 수있습니다.




2.5 ACL 권한을 유지하면서 객체를 NAS로 이동

네트워크 환경에 있는 모든 Windows PC 및 NAS 장치가 동일한 Windows AD 도메인이 추가되면 도메인의 모든 사용자 계정과 권한을 함께 결합할 수 있습니다. 그러나 PC 서버에서 NAS로 파일 또는 폴더를이동할 때 기존 ACL권한은 유지되지 않습니다. (이전 섹션의 규칙 사용) 이로 인해 IT 담당자가 사용권한을 다시 구성해야합니다.

파일 또는 폴더를 NAS로 이동할 때 기존 ACL 사용 권한을 유지하려면 타사 소프트웨어인 Fastcopy, 타사 소프트웨어 를 사용할 수 있습니다. 아래 예제에서는 이 Fastcopy를 사용하는 방법을 보여줍니다.



  • Fastcopy를 엽니다.
  • [소스]: 본 페이지에서 원본 폴더를 지정합니다.
  • [DestDir]: 여기에 대상 폴더를 지정합니다(이전 단계에서 매핑된 네트워크 드라이브).
  • [ACL] 확인란을 선택하여 파일을 이동할 때 Fastcopy에서 파일에 대한 원래 ACL 권한을 유지하도록 합니다.
  • [실행]을 클릭하여 폴더를 이동합니다.


  • 폴더가 성공적으로 이동되면 대상으로 이동한 모든 데이터는 소스(모든 명시적 및 상속된 사용 권한 포함)에서 ACL 권한을 유지하게 됩니다. 이 데이터는 소스의 상위 개체로부터 사용 권한을 상속하지 않습니다.

이 게시물이 도움이 되었습니까? / 아니요