달력

11

« 2024/11 »

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
2008. 11. 26. 08:53

12-1. 파일서버 구축 및 보안 Windows Networking2008. 11. 26. 08:53

파일서버라는 이름은 우리에게 너무나 친숙하다. 네트워크라는 것의 필요성이 여기서부터라고 해도 틀린 말은 아닐 것이다. 옆자리에 있는 동료의 컴퓨터에 저장된 파일을 공유하고 싶다는 데서부터 파일서버의 필요성은 출발된다.

 

파일서버를 구축하는 것은 간단하지만 제대로 관리하는 것은 쉽지 않다. 처음에는 잘 준비하지만 공유해야 할 데이터가 하나 둘 늘어가면서 금새 어수선한 공유폴더를 만들어 내는 경우가 많기 때문이다. 폴더를 구성할때는 계층구조를 사용하도록 하자. 앞으로의 확장을 고려한다면 좋은 구조이다. 예제로 만든 폴더구조를 보도록 하자.


<그림12-1. 파일서버의 계층적인 폴더관리>

 

<그림12-1>의 예제에서는 F: 루트에 데이터라는 이름의 폴더를 만들고, 그 아래에는 공용데이터”, “사용자데이터를 생성했다. “공용데이터에는 부서별 공통 데이터를 저장하며, “사용자데이터는 회사의 사용자별 홈폴더를 설정해 주기 위한 공간이다. 이런 형태로 파일서버를 계층적 폴더구조를 만들어서 관리하면 늘어나는 사용자에 따른 폴더생성, 백업 등이 용이해진다.

 

위와 같이 구성하면 회사에서 부서별로 공유할 데이터를 저장할 공용데이터폴더를 공유하고, 사용자별 데이터를 저장할 사용자데이터를 공유하는 두가지 작업만으로 기본적인 요구사항은 해결될 수 있는 구조가 마련된다. 상위의 폴더 하나만 공유하면서 어떻게 하위에 있는 폴더들의 권한통제가 가능할 것인가? 그것은 바로 Windows NT기반의 OS에서 지원하는 NTFS파일시스템의 NTFS 퍼미션관리를 통해서 가능한 작업이다.

 

앞에서는 파일서버의 기본적인 구성에 대해서만 설명하였다. 이번장에서는 기본구성을 근거로 하여 구체적인 서버의 보안설정을 어떻게 하여야 할 것인지를 살펴본다. 예제는 다음과 같다. 부서별 공용데이터와 사용자별 개인폴더를 저장하는 blueapple 이라는 이름의 파일서버가 있다. 이 파일서버에서는 F: data라는 최상위 폴더를 생성했으며 부서별 폴더와 사용자별 폴더를 각각 public, user로 생성했다. 이 때 파일서버의 기본보안은 어떻게 유지되어야 하는지 접근해 보자.

 


<그림12-2. 파일서버의 권한설정 1>

먼저 부서별 데이터폴더인 Public폴더를 공유한다. Public에서 마우스 오른쪽 버튼을 이용하여 공유를 선택한다.


<그림12-3. 파일서버의 권한설정 2>

공유이름으로 public 이라는 기본값을 사용했다. 공유폴더에 대한 사용권한을 설정하기 위해 [사용권한]을 클릭했다.


<그림12-4. 파일서버의 권한설정 3>

기본적으로 모든 공유폴더의 사용권한은 Everyone에게 모든 권한이 부여되어 있다. 좋지 않은 권한설정이다. [제거]를 클릭했다.


<그림12-5. 파일서버의 권한설정 4>

Public공유폴더에 대해서 [추가]를 이용하여 Administrators 그룹을 추가했다. 또한 Users 그룹을 추가하고 변경’,’읽기권한을 주었다.


<그림12-6. 파일서버의 권한설정 5>

이렇게 공유설정을 마쳤다. <그림12-6>을 보면 \\blueapple\public UNC Path를 이용하여 네트워클를 통해 blueapple서버의 public공유폴더에 접근해 본 화면이다. Public 폴더 아래에는 개발팀, 관리부, 마케팅, 영업부라는 4개의 서브폴더가 있다. 현재 상태로는 각 부서에 속한 사용자들이 자기 부서의 폴더에만 접근하는 것이 아니라 public 공유폴더를 통해서 접근하기 때문에 4개의 모든 폴더에 대해서 변경권한까지 가지도록 설정되어 있다. 4개의 서브폴더를 포함하는 상위폴더를 공유했기 때문에 4개의 서브폴더는 상위폴더에 주어진 공유폴더에 대한 권한을 그대로 동일하게 적용받는 것이다.

이것을 공유폴더만 가지고 해결하기 위해서는 Public이라는 상위폴더를 공유하는 것이 아니라 4개의 서브폴더를 각각 공유해야 한다. 예를 들어 개발팀폴더를 개발팀이라는 이름으로 공유하고 개발팀그룹에게만 사용권한을 할당해야 하는 것이다. 하지만 그렇게 접근하는 것이 아니라 공유폴더 사용권한과 NTFS 폴더 퍼미션을 같이 사용함으로써 해결할 수 있다.


<그림12-7. 파일서버의 권한설정 6>

NTFS퍼미션을 할당해 보자. 먼저 Public아래의 서브폴더인 개발팀을 마우스 오른쪽 클릭하여 등록정보를 선택했다.


<그림12-8. 파일서버의 권한설정 7>

기본적으로 할당되어 있는 퍼미션이 보인다. 기본 퍼미션을 변경하기 위해 먼저 아래쪽에 부모로부터 상속 가능한 사용권한을 이 개체로 전파할 수 있음체크상자를 해제한다.


<그림12-9. 파일서버의 권한설정 8>

<그림12-9>와 같은 메시지가 팝업된다. ‘복사를 누른다.


<그림12-10. 파일서버의 권한설정 9>

이제 기본설정된 NTFS퍼미션을 변경할 수 있도록 활성화 되었다. Everyone 그룹을 제거한다.


<그림12-11. 파일서버의 권한설정 10>

CREATOR OWNER그룹을 추가한다. 이것은 개발팀에 이 폴더내에 새로운 폴더나 파일을 생성한 사용자가 파일이나 폴더에 대해 모든 권한을 가지도록 해 준다.


<그림12-12. 파일서버의 권한설정 11>

추가로 개발팀을 위해 미리 생성해둔 도메인 로컬 그룹인 DL_rnd 를 추가하고 읽기 및 실행’, ‘폴더 내용 보기’, ‘읽기사용권한을 할당했다. 여기까지만 할당하면 개발팀에 권한을 할당하기 위한 그룹인 DL_rnd 그룹의 구성원들은 개발팀폴더에 대해서 읽기 권한 밖에 가지지 못한다. 추가작업이 필요하다.


<그림12-13. 파일서버의 권한설정 12>

계속 이어서 [고급]버튼을 클릭한다.


<그림12-14. 파일서버의 권한설정 13>

고급옵션의 사용권한탭에서 [추가]를 누른다.


<그림12-15. 파일서버의 권한설정 14>

개발팀 권한 항목화면에서 이름은 ‘DL_rnd’를 선택하고 적용대상은 이 폴더만사용권한은 하위폴더 및 파일 삭제, 삭제 권한을 제외한 모든 권한을 허용시킨 다음 [확인]을 누른다.


<그림12-16. 파일서버의 권한설정 15>

DL_rnd 그룹을 위한 특별한 권한이 구성되었다. [확인]을 눌러서 구성을 마친다.

다른 부서의 공용폴더도 같은 방법으로 구성해 준다. 이것에 대한 결과로서 각 부서별 폴더는 부서의 구성원들만 접근이 가능하며, 부서의 구성원이라고 할지라도 다른 사용자들이 만든 폴더나 파일에 대해서는 읽기만 가능하고, 자신이 만든 파일에 대해서는 자신이 모든 권한을 가지게 된다. 부서별 데이터를 파일서버에서 처리하는 좋은 구조이다. ‘자신의 파일은 자신이 관리하고, 같은 부서의 다른 사용자가 만든 파일은 읽기만 가능한 구조가 되었다는 것이다.

 

부서별 공용데이터 폴더의 권한설정을 마치고 이번에는 사용자별 개인 데이터 폴더를 구성해 보자. 먼저 공용데이터를 저장하기 위한 상위폴더인 Public을 공유하였던 것과 마찬가지로 사용자 데이터를 저장하기 위한 상위폴더인 user 폴더를 공유하고 권한설정을 마친다.


<그림12-17. 파일서버의 권한설정 16>

다음 사용자의 폴더에 대한 NTFS퍼미션을 구성한다. 예제에서는 수용이라는 사용자의 홈폴더를 구성하고 있다. 해당폴더를 마우스 오른쪽 클릭하여 등록정보를 선택한다.


<그림12-18. 파일서버의 권한설정 17>

아래쪽에 부모로부터 상속 가능한 사용권한을 이 개체로 전파할 수 있음체크상자를 해제하고 Everyone 그룹에게 부여된 퍼미션을 제거한 다음, 김수용(sykim@mscs.co.kr) 사용자에게 모든 권한을 할당했다. 이 결과로 김수용사용자는 자신의 폴더에 대해서 모든 권한을 가지며, 관리자 그룹이 아닌 다른 어떤 사용자도 김수용폴더에 접근조차 불가능하게 되었다. 사용자의 개인 데이터를 보호하기 위한 좋은 방법이다. 여기서 관리자가 폴더를 들여다 봐야할 특별한 사유가 없다면 Administrators 역시 제거해도 무방하다.

사용자가 많아질수록 일일이 수작업으로 사용자의 폴더마다 권한설정을 하는 것은 상당히 번거로운 작업이다. 도메인의 사용자 계정을 생성할 때 홈폴더를 할당하면 자동적으로 사용자별 폴더도 생성되고 동시에 이러한 권한설정이 이루어지게 된다. 이것에 대해서는 이 책의 14장을 참고한다.

 

이상으로 파일서버에서 부서별 공용데이터와 사용자별 개인데이터를 관리하기 위한 권한설정을 하는 방법에 대해서 알아보았다.


:
Posted by 새벽예찬