사용자 계정 관리
● 사용자 계정
1. 로컬 사용자 계정
사용자가 특정 컴퓨터에 로그온하여 그 컴퓨터의 자원에 접근할 수 있도록 한다.
(1) 로컬 컴퓨터 자원에 액세스를 제공한다.
(2) 도메인에 있지 않은 컴퓨터에서만 생성된다.
(3) 로컬 보안 데이터베이스에서 생성된다.
2. 도메인 사용자 계정
사용자가 도메인에 로그온하여 네트워크 자원에 접근할 수 있도록 한다.
(1) 네트워크 자원 접근 제공
(2) 증명을 위한 액세스 토큰 제공
(3) 도메인 컨트롤러의 액티브 디렉토리 서비스에서 생성
3. 기본 제공 사용자 계정
사용자가 관리 작업을 수행하거나 로컬 혹은 네트워크 자원에 접근할 수 있도록 한다.
● 기본 생성 계정 (Built-in Account)
Windows 2000 Server에 최초로 설치될 때 생성되는 계정으로
삭제가 불가능하며 기본으로 할당된 권한이 있다.
(1) Administrator
사용자 계정과 그룹의 생성 및 변경, 보안 정책 관리, 프린터 생성, 사용자 계정으로
자원에 접근할 수 있도록 허가와 권한을 할당한다.
(2) Guest
임시 사용자가 로그온하여 자원에 접근할 수 있도록 한다.
● 기본 생성 그룹 (Built-in Group)
Windows 2000 Server가 최초로 설치될 때 생성되는 그룹으로 삭제가 불가능하다.
Built-in 그룹에는 여러 개의 그룹들이 있으며
각 그룹에는 관리자의 편의를 제공하기 위해 미리 적당한 권한이 할당되어 있다.
(1) Administrators
도메인 자원이나 로컬 컴퓨터에 대한 모든 관리 권한이 존재하는 그룹으로
사용자 계정의 추가 및 삭제, 장치 제어기나 응용 프로그램 설치, 하드디스크의 포맷,
네트워크를 통한 원격 관리 컴퓨터 설정 등을 할 수 있다.
(2) Backup Operators
시스템 백업을 위해 모든 시스템 파일과 디렉토리에 접근할 수 있다.
(3) Power Users
디렉토리를 네트워크로 공유할 수 있고 프린터의 설치, 사용자 계정 생성 / 수정 등
일부 권한을 제외한 관리자 권한을 가질수 있는 사용자들의 그룹이다.
(4) Replicator
도메인에서 파일을 복제할 수 있는 권한을 가진 그룹으로
디렉토리 복사 서비스에 사용된다.
(5) Users
도메인이나 로컬 컴퓨터에 일반적으로 사용되는 그룹으로
사용자 계정이 최초로 생성되면 Users그룹에 포함된다.
● 새로운 사용자 계정 계획
1. 명명 규칙
(1) 고유의 사용자 로그온 이름
로컬 사용자 계정은 컴퓨터에서 고유한 것이어야 하며
도메인 사용자 계정은 디렉토리에서 유일한 것이어야 한다.
(2) 최대 20개 문자 사용
필드는 20문자 이상을 받아들이지만 앞에서부터 20문자만 인식한다.
(3) 무효 문자 사용 회피
" / [] : ; | = , + * ? <>
(4) 사용자 로그온 이름 대 · 소문자 비구분
사용자 로그온 이름은 대소문자를 구분하지 않지만
Windows 2000은 대소문자를 유지시킨다.
(5) 중복된 이름을 가진 직원 수용
중복된 이름에 구분을 주기 위해 이름과 라스트 이니셜 그리고 성에 문자를 추가한다.
(6) 직원 유형 확인
조직에 따라 사용자 계정을 사용하여 임시 직원을 확인한다.
2. 암호 관련 요구 사항
(1) 계정으로의 승인되지 않은 접근을 막기 위해
Administrator 계정에 항상 암호를 할당한다.
(2) 암호를 관리하는 사람이 Administrator인지, 사용자들인지를 결정한다.
(3) 추측하기 어려운 암호를 사용한다.
(4) 암호는 128문자까지 만들 수 있으며,
최소 8문자 길이의 문자를 사용하는 것이 권장된다.
(5) 대문자 및 소문자, 숫자 그리고 유효한 특수기호 문자를 사용한다.
● 사용자 계정 추가
1. [시작] → [프로그램] → [관리도구] → [컴퓨터 관리]를 연다.
[로컬 사용자 및 그룹]의 [사용자]를 선택하고
마우스 오른쪽 버튼을 클릭한 후 나타난 메뉴에서 [새 사용자]를 선택한다.
2. [새 사용자] 등록 대화상자에 사용자 이름과 전체 이름, 설명, 암호, 암호 확인 등을
입력하고 [만들기] 버튼을 클릭한다.
(1) 사용자 이름
사용자가 Windows 2000 Server로 로그온 할 때 사용할 이름. 이 필드는 필수 항목이다.
(2) 전체이름
사용자의 전체 이름. 사용자 이름과 성이나 중간 이름, 이니셜 등이 포함된다.
(3) 설명
사용자 계정과 사용자에 대한 설명을 입력한다.
(4) 암호
사용자 증명과 보다 강력한 보안을 위해 암호를 지정한다.
암호는 볼 수 없으며, 길이에 관계없이 타이핑할 때 일련의 별표로 표시된다.
(5) 암호 확인
암호를 정확히 입력했는지 확인하기 위해 두 번 입력한다.
(6) 다음 로그온 할 때 반드시 암호 변경
사용자가 처음 로그온할 때 사용자가 자신의 암호를 바꾸도록 하고 싶은 경우 체크한다.
(7) 암호 변경할 수 없음
[다음 로그온 할 때 반드시 암호 변경]의 표시를 해제하면 활성화된다.
이 부분을 선택하면 계정 사용자가 직접 암호를 변경하지 못하게 된다.
같은 사용자 계정을 사용하는 사람이 두 명 이상이거나
사용자 계정 암호에 대한 통제권을 유지하려는 경우 체크한다.
(8) 암호 사용 기간 제한 없음
프로그램이나 서비스에 의해 사용되는 사용자 계정의 경우
암호를 변경하고 싶지 않으면 선택한다.
(9) 계정 사용 안함
계정을 사용할 사용자가 없는 경우 체크한다.
보통 계정 사용자가 출장 등으로 인해 장시간 계정을 사용하지 않을 경우 사용한다.
● 그룹 추가
[시작] → [프로그램] → [컴퓨터 관리] → [로컬 사용자 및 그룹] → [그룹]을
선택하고 마우스 오른쪽 버튼을 클릭하여 나타나는 메뉴에서 [새그룹]을 선택한다.
(1) 그룹 이름
네트워크에서 사용할 그룹 이름을 지정한다.
(2) 설명
그룹의 용도나 혹은 사용자의 설명을 입력한다.
(3) 구성원
그룹의 구성원으로 계정을 추가시키거나 삭제한다.
추가시킬 경우에는 아래의 [추가(A)] 버튼을 클릭한 후 계정을 추가하면 된다.
삭제할 경우에는 창에서 계정을 선택한 후 [제거(R)] 버튼을 클릭하면 된다.
