DCOM: SDDL(Security Descriptor Definition Language) 구문의 컴퓨터 액세스 제한 이 정책 설정은 DCOM 응용 프로그램을 원격이나 로컬로 액세스할 수 있는 사용자 또는 그룹을 결정합니다. ...

DCOM: SDDL(Security Descriptor Definition Language) 구문의 컴퓨터 액세스 제한

이 정책 설정은 DCOM 응용 프로그램을 원격이나 로컬로 액세스할 수 있는 사용자 또는 그룹을 결정합니다. 이 설정은 DCOM 응용 프로그램에 대한 컴퓨터의 공격 표면을 제어하는 데 사용됩니다.

이 정책 설정을 사용하여 엔터프라이즈에서 DCOM 응용 프로그램의 특정 사용자에게 모든 컴퓨터에 대한 액세스 권한을 지정할 수 있습니다. 권한을 부여할 사용자나 그룹을 지정하면 보안 설명자 필드는 해당 그룹 및 권한의 SDDL 대표로 채워집니다. 보안 설명자를 비워두면 정책 설정이 템플릿에 정의되지만 적용되지 않습니다. 사용자 및 그룹에 로컬 액세스와 원격 액세스 둘다에 대해 허용 권한 또는 거부 권한을 명시적으로 부여할 수 있습니다. 

SDDL(Security Descriptor Definition Language) 구문 정책 설정의 DCOM: 컴퓨터 액세스 제한을 사용한 결과로 만들어진 레지스트리 설정은 이 영역의 이전 레지스트리 설정보다 우선합니다. RpcSs(Remote Procedure Call Services)는 컴퓨터 제한에 대한 정책 섹션에서 새 레지스트리 키를 확인하며 이 레지스트리 항목은 OLE 아래에 있는 기존 레지스트리 키보다 우선합니다. 즉, 기존 레지스트리 설정은 더 이상 적용되지 않으며 기존 설정을 변경해도 사용자의 컴퓨터 액세스 권한은 변경되지 않습니다. 설정의 사용자 및 그룹 목록을 구성할 때는 주의해야 합니다.

이 정책 설정에 사용할 수 있는 값은 다음과 같습니다.

• 공백. 로컬 보안 정책이 정책 적용 키를 삭제하는 방법을 나타냅니다. 이 값은 정책을 삭제하고 정의되지 않음 상태로 설정합니다. ACL 편집기를 사용하여 목록을 비운 다음 [확인] 단추를 눌러 이 값을 설정합니다.

• SDDL. 이 정책을 사용하는 경우 사용자가 지정하는 그룹 및 권한의 SDDL 대표입니다.

• 정의되지 않음. 기본값입니다.

참고
Windows에서 DCOM에 적용된 변경 내용 때문에 관리자가 DCOM 응용 프로그램에 액세스할 수 있는 권한이 거부되는 경우 관리자는 SDDL 구문 정책 설정에서 DCOM: 컴퓨터 액세스 제한을 사용하여 컴퓨터에 대한 DCOM 액세스를 관리할 수 있습니다. 관리자는 이 설정을 사용하여 컴퓨터의 DCOM 응용 프로그램에 로컬 및 원격으로 액세스할 수 있는 사용자 및 그룹을 지정할 수 있습니다. 이렇게 하면 DCOM 응용 프로그램에 대한 제어가 관리자 및 사용자에게로 복원됩니다. 이렇게 하려면 SDDL 구문 설정의 [DCOM: 컴퓨터 액세스 제한]을 연 다음 [보안 편집]을 클릭합니다. 포함할 그룹과 해당 그룹의 컴퓨터 액세스 권한을 지정합니다. 설정이 정의되고 적절한 SDDL 값이 설정됩니다.