윈도우 서버 2003 Account(계정)

현재 클라이언트 PC의 OS가 Windows XP 등 NT계열 시스템들이 주종을 이루고 있습니다. OS에 따라 클라이언트용, 서버용 등을 구분하기는 하지만 클라이언트용이라고 하더라도 네트워크는 반드시 필요하며 상당부분 서버의 역할도 수행할 수 있는 기능을 가지고 있습니다.

 

네트워크 환경에서 많은 사람들이 정보를 공유하고, 서로간의 하드디스크, 프린터 등의 자원을 공유하기 위한 방법인 네트워킹이 빠르고 안정적으로 동작하는 것은 요즈음의 OS가 가져야할 기본적인 사항입니다.

 

여기에서 한가지 생각해야 할 일이 있습니다. 이렇듯 네트워크에서 컴퓨터가 자원을 공유하는 용도로 사용이 된다면 "보안"이라는 단어를 떠올리지 않을 수 없습니다. 적법한 사용자에게 최선의 서비스를 제공할 수 있어야 하지만, 그렇지 못한 사용자에게는 접근을 거부하게 하는 조치를 취해야만 안정적인 시스템운영을 할 수 있을 것이기 때문입니다. NT는 이러한 기능을 제공하기 위해서 자신의 자원에 접근하게 할 사용자들을 생성하고, 이들의 리스트를 유지합니다. 이 리스트를 가리켜서 디렉토리(directory)라고 부르며 이 디렉토리를 저장하는 공간을 디렉토리 데이터베이스라고 부릅니다. 그리고 디렉토리 데이터베이스에 저장되는 하나 하나의 개체(object)를 가리켜 계정(Account)이라고 부르는 것입니다. 예를 들면 사용자 계정, 컴퓨터 계정 등이 그것입니다. 한 컴퓨터에 앉은 누군가가 서버에 있는 파일에 접근을 하고자 한다면, 그 컴퓨터를 사용하는 사용자계정이 서버의 디렉토리 데이터베이스에 존재해야 접근할 수 있게 된다는 것을 의미합니다.

 

네트워크에서 누군가가 서버에 연결을 하고자 할 때 사용자 계정을 사용하게 되는데 이때 접근하는 사용자가 관리자가 생성해 준 진짜 사용자가 맞는지를 판단하는 방법으로 ‘암호’라는 것을 사용합니다. 이렇게 서버가 특정 사용자에 대해 진짜 사용자가 맞다고 판단해 주는 것을 인증(Authentication)이라고 압니다. 네트워크에서 컴퓨터 대 컴퓨터 간의 통신에서는 그 컴퓨터를 쓰는 사람은 뒷전에 있기 마련입니다. 그러므로 설사 회사의 직원이 아니라도 제3자가 직원의 사용자 계정을 도용하여 제시하고 올바른 암호만 사용한다면 믿을 수 밖에 없는 노릇인만큼 암호에만 의존하는 대부분의 현재 상태에서 네트워크 보안에는 다소 아쉬움이 남는 것이 현실입니다. 그런 이유로 보안이 보다 중요시되는 곳에서는 단순히 암호만 사용하는 것이 아니라 스마트카드, 지문인식시스템 등의 추가적인 보안인증을 구현하고 있습니다.

 

윈도우 서버를 관리할 대부분의 관리도구는 “컴퓨터 관리”도구에 포함되어 있습니다. <그림 1>

 

<그림 1> 컴퓨터 관리 도구

 

얼핏 살펴봐도 상당히 많은 관리메뉴가 보인다는 것을 알 수 있습니다. 이 ‘컴퓨터관리’라는 이름의 관리도구는 여러 개의 관리메뉴가 통합된 환경을 제공합니다. 공유폴더, 사용자, 그룹, 이벤트, 성능, 경고, 디스크관리 등의 기본적인 관리업무를 수행하고자 할 때 당신은 이 관리도구를 사용하게 될 것입니다.

 

계정을 추가하는 작업을 해 보면, ‘컴퓨터 관리’ 관리콘솔의 왼쪽 패널에서 ‘로컬 사용자 및 그룹’을 확장하면 ‘사용자’와 ‘그룹’이라는 두개의 메뉴를 확인할 수 있습니다. <그림 2> 

 

<그림 2. 컴퓨터관리 도구-사용자>

 

사용자를 클릭하면 오른쪽 패널에서 기본적으로 생성되어 있는 사용자 계정(Built-in User Account)들을 확인할 수 있습니다. Administrator라는 계정이 보입니다. 이 계정이 마이크로소프트의 윈도우 서버에서 사용되는 마스터 계정입니다. Unix에 root, Netware에 supervisor가 있다면 윈도우에는 Administrator가 있습니다. 위에서 설명했듯이 누구든지 올바른 암호만 제시한다면 여러분의 시스템은 제3자를 당신, 즉, 관리자로 판단하고 모든 것을 허용하고 말 것입니다. 일반 계정도 마찬가지지만 특히 관리자 계정에 복잡한 암호를 사용해야 하는 것은 당연한 사실입니다. 대문자, 소문자, 특수문자, 숫자 등을 포함하여 12자리 이상의 보다 강력한 암호를 할당할 필요가 있습니다. 그것도 완전하지는 않습니다. 최소한 45일정도마다 한차례씩 암호를 변경해 주어야 할 것입니다. 또, Administrator계정을 클릭하고 마우스 오른쪽 버튼을 이용하여 ‘이름 바꾸기’를 선택한 다음 계정의 이름을 변경해야 합니다. Administrator를 그대로 사용하는 것은 의도하지 않은 사용자에게 시스템의 마스터 계정을 그대로 드러내 주는 일밖에 되지 않습니다.

 

Guest 계정도 보이는데, 기본적으로 이 계정은 비활성화되어 있습니다. 가급적이면 활성화시키지 말것을 권장합니다. 기본적으로 Guest계정의 암호는 공백의 문자로 설정되어 있습니다. 이 계정을 활성화시키면 디렉터리 데이터베이스에 계정을 가지고 있지 않을 사용자까지도 서버에 접근이 가능해 집니다. 다수의 사용자가 파일서버에 접근하도록 허용하기 위해서 Guest계정을 열어놓는 경우가 있지만 보안상 좋지 않습니다. 혹 실수로 Guest계정이 활성화되는 경우를 대비해서 Guest계정에 복잡한 암호를 설정하는 것도 좋은 방법입니다. 나중에 기억이 안 나면? 당신은 관리자이다!

 

‘사용자’에서 마우스 오른쪽 클릭하여 ‘새 사용자’를 선택합니다. <그림 3>의 사용자 계정을 생성하는 화면이 열립니다.

 

<그림 3. 사용자 계정 생성>

 

‘사용자 이름’ 항목이 바로 사용자 계정에 해당합니다. 이 계정으로 사용자는 해당 시스템에 로그온을 하고 네트워크에서 이 계정을 이용해서 계정이 생성되어 있는 컴퓨터에 원격으로 접근하는 것이 가능해 집니다. 전체이름은 계정에 대한 구체적인 이름을 기록해 놓습니다. 계정만으로는 어떤 사용자인지 판단이 어렵기 때문에 관리적인 측면을 고려한 것입니다.

 

아래부분에 ‘다음 로그온할 때 반드시 암호 변경’옵션이 기본으로 체크되어 있음을 확인합니다. 이 옵션이 체크되어 있으면 계정이 생성되고 해당 사용자가 처음으로 이 컴퓨터에서 직접 로그온을 할 때 암호를 바꿀 것을 디렉터리 서비스로부터 요구받게 됩니다. 처음 로그온할 때 암호를 변경하면서 로그온을 성공적으로 하고 나면 이 체크박스는 자동적으로 해제됩니다. 사용자로 하여금 자신의 암호는 자신이 직접 생성하도록 할 수 있는 좋은 옵션입니다. 그 이후에는 관리자라고 하더라도 사용자의 암호를 알 수는 없습니다. 다만 관리자는 언제든지 관리도구를 통해서 사용자의 암호를 변경할 수 있기 때문에 암호를 관리할 수 있을 뿐입니다.

 

‘로컬 사용자 및 그룹’ 중에서 ‘그룹’을 클릭해 봅니다. <그림 4>

 

<그림 4. 컴퓨터관리 도구-그룹>

 

그룹에도 기본적으로 생성된 여러가지 계정(Built-in Group Account)들이 보입니다. 이 그룹은 사용자들을 조직하여 보다 원활한 관리를 도와줍니다. 중요한 것은 관리자가 사용자 계정을 생성하거나, 백업 담당자가 백업을 하거나, 사용자들이 로그온을 할 수 있다거나 하는 것들에 대한 권한(User rights)은 사용자 계정 단위가 아니라 그룹 계정에게 할당되어 있다는 것입니다. 예를 들어 Administrators는 관리자그룹인데, 이 Administrators 그룹은 관리자로서 할 수 있는 모든 작업들이 부여되어 있습니다. 그리고 그룹의 멤버는 그룹이 가진 권한을 그대로 상속받게 됩니다. 그렇다면 새로운 사용자를 만들고서 그 사용자를 Administrators 그룹의 멤버로 구성을 한다면? 그 새로운 사용자도 관리자가 된다는 것을 의미합니다.

 

시스템에 주어진 권한은 “시작-관리도구-로컬 보안 정책”을 열고, “로컬정책-사용자 권한 할당”을 열어보면 오른쪽 패널에서 확인할 수 있습니다. 수 많은 정책들이 시스템에서 특별한 작업을 할 수 있는 권한의 목록과 이 권한이 부여된 사용자와 그룹을 보여줍니다. 물론 이 인터페이스를 통해서 권한설정을 할 수도 있습니다. 홍길동이라는 사용자에게 시스템 백업의 권한을 준다거나 하는 것을 말합니다.

<그림 5. 사용자 권한 확인 – 로컬 보안 정책>

 

<그림 4>에서 이번에는 ‘그룹’을 마우스 오른쪽 클릭하여 ‘새 그룹’을 엽니다. <그림 6> 그룹이름이 ‘그룹 계정’에 해당합니다. 예제에서는 SysManagers라고 입력했습니다. 그룹을 생성한 목적이나 이 그룹의 멤버쉽등에 대한 정보를 ‘설명’에 기록해 두고(필수사항은 아닙니다.) 이 그룹의 구성원을 추가해 줍니다. 당연히 사용자 계정은 먼저 생성이 되어 있어야 합니다.

<그림 6. 그룹 계정 만들기>

 

처음 그룹계정을 생성할 때 사용자 계정을 추가할 수 있고, 나중에 같은 관리도구를 이용하여 새롭게 사용자를 추가할 수도 있습니다.