[Windows] 윈도우 계정, 그룹, 인증 시스템, UAC

1. 내장된 사용자 계정

이름	설명
Users	- 기본적인 권한은 가지고 있지 않지만 Domain Users 글로벌 그룹이 구성원으로 포함되어 있음.
Account Operators	- 서버 관리자를 사용하여 컴퓨터를 도메인 추가 가능하며, 사용자 계정, 그룹의 생성 및 삭제, 수정 할 수 있는 권한 보유.
Printer Operators	- 도메인 컨트롤러에 있는 프린터를 생성 및 관리
Server Operators	- 도메인 컨트롤러에 있는 자원을 공유하거나 폴더를 백업하고 복구

 

 

 

---

2. 윈도우 유니버셜 그룹 계정

그룹 이름	설명
Administrators	- 컴퓨터의 모든 관리 권한과 사용 권한을 가짐 - 기본적으로 Administrator가 사용자 계정과 Domain Admins를 포함.
Users	- 기본적인 권한은 갖지 않음. - 컴퓨터에서 생성되는 로컬 사용자 계정 포함. - Domain Users 글로벌 그룹이 구성원으로 포함.
Guests	- 관리자에 의해 허락된 자원과 권한만을 사용하여 네트워크 자원에 접근 가능.
Backup Operators	- Windows 백업을 이용하여 모든 도메인의 컨트롤러에 있는 파일과 폴더를 백업하고 복구할 수 있는 권한 보유.
Power Users	- 컴퓨터에서 로컬 사용자 계정을 생성 및 수정할 수 있는 권한 보유. - 자원을 공유하거나 멈출 수 있음. - 시스템 전체 권한은 없지만 시스템 관리 권한이 부여된 그룹.

 

 

 

---

3. 윈도우 인증 시스템

이름	설명
Winlogon	- 윈도우 로그인 프로세스
GINA	- msgina.dll - Winlogon은 msgina.dll을 로딩하여 사용자가 입력한 계정과 암호를 LSA에게 전달
LSA	- lsass.exe - 계정과 암호 검증을 위해 NTLM(윈도우 해시함수) 모듈을 로딩하고 계정을 검증. - SRM이 작성한 감사로그 기록
SAM	- 사용자 계정정보(해시값) 저장 - 리눅스의 /etc/shadow와 같은 역할
SRM	- 사용자에게 고유 SID를 부여, SID에 권한 부여. - SID로 디렉터리 접근권한 검사. * 500: Administrator 501: Guest 1000 이후: User

 

 

 

---

4. 사용자 계정 컨트롤(User Account Control, UAC)

· 무단 변경으로부터 운영체제 보호.

· 시스템 변경에 관리자 수준 권한이 필요한 경우, UAC는 사용자에게 알리고 승인/거부를 결정.

 

 

 

---

5. 시스템 계정

· SYSTEM 계정은 Windows에서 실행되는 서비스에서 사용됨.

· 시스템에서 최고 권한을 가졌으며, 로컬에서 관리자보다 상위 권한.

· 사용자는 이 계정으로 시스템에 로그인 할 수 없음.

· 원격 접속 불가능.