권한 보안과 함께 이동할 수 있는 데이터가 50GB 있습니다.
—————————-
이 기사는 대규모 권한 보안 문제가 발생할 경우 Windows 관리자를 저장할 수 있는 몇 가지 도구에 관한 것입니다.
다음은 XCACLS 도구의 사용을 설명하는 데 사용할 수 있는 가상의 시나리오입니다. 수십만 개의 작은 파일이 포함된 수천 개의 디렉토리로 구성된 50GB 상당의 데이터를 한 스토리지 시스템에서 다른 스토리지 시스템으로 이동하거나 복사해야 합니다. 이러한 시스템은 Windows 2000 도메인의 일부에 해당하며 권한은 정의상 매우 세분화되어 있습니다. 우리는 좋아하는 복제 또는 동기화 도구를 사용하여 해당 데이터의 복제를 시작하고 저녁에 출발합니다. 다음 날 돌아오면 모든 것이 복사되어 모든 것이 잘 보입니다. 그것은 당신이 데이터에 접근하려고 할 때까지입니다.
데이터가 복사되었지만 액세스할 수 없습니다: 권한 보안 문제
————————————————–
방금까지 당신이 몰랐던 것은 데이터를 복사한 드라이브의 루트 디렉토리에 잘못된 권한이 할당되어 있다는 것입니다. 또한, 상속은 드라이브에 저장된 모든 데이터가 루트 디렉토리의 권한으로 덮어쓰도록 구성되었습니다. 이 경우에는 더 이상 존재하지 않는 오래된 계정이었습니다. 믿거나 말거나, 그럴 수 있습니다. 그러면 시스템 관리자들이 제가 무슨 말을 하는지 알게 될 것입니다. 이제 무엇을 해야 할지 고민해야 합니다. 새 드라이브를 포맷하고 루트 디렉토리의 권한과 상속을 올바르게 변경한 후 처음부터 다시 시작해야 하나요? 루트 드라이브에 올바른 권한을 부여하고 권한이 전파될 때까지 몇 시간씩 대기하도록 변경해야 하나요? 아니요, XCACLS 또는 SUBINACL이라는 다른 도구로 이 문제를 매우 빠르게 해결할 수 있는 또 다른 방법이 있습니다.
디렉토리 및 파일에 대한 권한을 빠르게 재설정하는 XCALCS
—————————-
이 글에서는 공간이 제한되어 있기 때문에 이 문제를 해결하기 위한 도구로 XCACLS를 사용하려고 합니다. 그러나 복잡한 권한 구조에서는 문제를 해결하기 위해 SUBINACL을 사용하는 것이 가장 좋습니다. 기사 말미에 SUBINACL에 대해 간단히 말씀드리겠습니다.
XCACLS는 파일과 디렉토리에 대한 권한을 설정, 제거, 추가 및 변경할 수 있는 매우 빠른 도구입니다. 예를 들어, 다음 명령어는 파일 “file.txt”의 모든 기존 접근 권한과 계정을 읽기 전용 접근 권한으로 “dmiller”의 계정으로 대체합니다: xcalcs 파일.txt /Y /T /G domaindmiller:r”. 그것은 꽤 쉽고 도움이 되지만, 수천 개의 디렉토리와 파일을 모두 변경하여 도메인밀러 계정이 전체 액세스 권한을 가질 수 있도록 하는 것은 어떨까요? 이 작업을 매우 빠르게 수행하려면 드라이브의 루트 디렉토리에서 다음을 실행할 수 있습니다: ” /d %g IN (*.*) DO xacls “%g” /Y /T /G domaindmiller:f”. 이 작업은 모든 디렉토리, 하위 디렉토리 및 파일을 거쳐 현재 권한을 디밀러가 객체에 대한 완전한 액세스 권한으로 대체합니다. 예시에서 %g 주위에 “”를 넣는 것을 보실 수 있을 것입니다. 이것은 필수는 아니지만, 이름에 공백이 있는 디렉토리가 있는 경우 “”가 필요합니다.
보안 권한을 변경하기 위해 XCACLS를 사용할 수 있는 다른 방법
———————————————————-
이 도구를 사용하는 몇 가지 추가적인 유용한 예를 드리기 위해 많은 디렉터리와 파일에서 계정과 권한을 교체, 업데이트 및 제거하는 다음 명령 프롬프트 방법을 살펴보세요.
다음 명령어는 계정의 모든 기존 액세스 권한을 읽기 전용 액세스 권한을 가진 디밀러 계정으로 대체합니다:
/d %g IN (*.*) DO xacls “%g” /Y /T /G domaindmiller:r
다음 명령어는 기존 계정 권한을 대체하는 것이 아니라, 예를 들어 로컬 관리자 계정과 같은 계정을 읽기 전용 권한으로 추가합니다:
/d %g IN (*.*) DO “%g” /Y /E /T /G 관리자:r
다음 명령어는 모든 디렉토리, 파일 서든어택핵 및 하위 디렉토리에서 계정 “관리자” 권한을 제거합니다: /d %g IN (*.*) DO xacls “%g” /Y /E /T /R administrator
이 명령어는 모든 디렉토리와 그 내용을 업데이트하여 도메인 관리자가 전체 액세스를 할 수 있도록 해야 합니다:
/d %g IN (*.*) DO xcals “%g” /Y /T /G “Domain Admins:f”
XP Pro 워크스테이션에서 테스트를 해보니 약 10000개의 디렉토리와 파일에 대한 권한을 1분 이내에 변경할 수 있었습니다. 서버 중 하나에서 속도를 500% 향상시킬 수 있었습니다. 엄청나게 빠릅니다.
수비나클은 더 복잡하지만 인간이 정말로 하루를 구할 수 있습니다.
———————————————–
이 글에서 이 도구에 대해 자세히 설명할 수는 없지만, 무엇을 할 수 있는지 알려드리겠습니다. 그리고 다시 말하지만, 그것은 매우 빠르게 합니다. 위와 같은 시나리오를 사용하여 수천 개의 홈 디렉토리에 대한 권한을 수정해야 한다고 가정해 보겠습니다. SUBINACL을 사용하면 실제로 원래 디렉터리와 파일로 이동하여 이 도구를 사용하여 소스 파일의 올바른 계정과 권한을 포함하는 텍스트 파일인 “플레이 파일”을 만든 다음, 같은 파일을 사용하여 SUBINACL에게 실패한 권한이 있는 대상 스토리지 시스템에 대한 권한을 수정하라고 알릴 수 있습니다. 이런 곤경에 처하게 된다면 정말 큰 도움이 될 것입니다.
“CACLS”도 확인해 보세요. 이 명령어는 Windows XP Professional에 고유합니다.
결론
———-
이 도구들은 Windows 2000 및 2003 서버 리소스 도구 키트에 포함되어 있지만, 그 중 몇 가지는 Windows XP 환경에 기본적으로 존재하기도 합니다. 아직 그들에 대해 모르는 경우 확인해 보세요. 지금 당장 사용할 수 없더라도 향후 허가 문제가 발생할 경우 몇 시간의 수고와 스트레스를 줄일 수 있습니다.