※ 아래 Daily Tip은 최천군님이
제공해주신 내용입니다
오늘은 작업그룹파일을 이용한
사용자 수준 보안에 대한 이해를 갖도록 하겠습니다.
작업그룹파일을 이용한 보안
장치는 크게 네 가지의 구성 요소로 이루어져 있으며 각각의 역할이 서로 다르고 이 네 가지의 요소가
하나의 목적을 위해 상호 영향을 미치며 작용하면서 강력하고 세밀한 보안 장치를 구성하는 동시에
사용자를 헷갈리게 만듭니다.
각각의
구성요소는 다음과 같습니다.
하나씩 알아 보겠습니다.
열쇠 꾸러미
작업그룹 파일 (System.mdw)
모든 액세스 파일은 작업그룹 파일을 통해 현재 사용자가
사용하려는 계정이 사용하려는 파일에 유효한 계정인지 아닌지를 판단합니다.
작업그룹 파일에는 기본적으로 Admin계정이 있으며 이 계정은 삭제할 수 없습니다. 또한 Admins그룹
계정과 Users그룹 계정이 기본적으로 있습니다. 새로운 사용자 계정을 생성하면 이 계정은 기본적으로
Users그룹에 속하게 됩니다. 그 외의 추가적인 사용자 계정 또는 사용자 그룹 계정은 이 파일에
기록 됩니다.
“어라? 나는 아무런 아이디, 비밀번호도 넣지 않고 그냥
파일을 열었는데?”
이와 같이 암호를 묻지 않고 들어가는 것은 Admin계정만 가능합니다. 암호확인창이 없이 파일이
열렸다면 그리고 뭔가 사전조치가 없었다면 Admin계정으로 들어간 것입니다.
사랑해천사
작업그룹
관리자(Wrkgadm.exe)
이 실행 파일을 통해 새로운 작업그룹 파일을 생성하거나 기존에
생성한 작업그룹 파일로 액세스 프로그램의 기본 작업그룹 파일의 연결을 바꾸는 작업을 할 수 있습니다.
다른 작업그룹으로 바꾸면 액세스 프로그램을 열 때마다 바꾼 작업그룹 파일에서 계정 정보를 얻어
옵니다.
아래의 표는 액세스 프로그램을 처음 설치할 때 기본적으로 생성되는 작업그룹파일과 파일경로, 작업그룹
관리자의 파일경로를 보여줍니다.
<표1> 작업그룹파일과 작업그룹관리자의 파일경로
버전 |
작업그룹파일 이름
(default) |
작업그룹 파일 위치 |
Wrkgadm.exe 위치 |
2.0
|
System.mda |
C:\Access
|
C:\Access
|
95
|
System.mdw |
C:\MSOffice\Access
|
C:\MSOffice\Access
|
97
|
System.mdw |
C:\Windows\System
|
C:\Windows\System
|
2000
|
System.mdw |
\Program
Files\Common Files\System |
\Program
Files\Microsoft Office\Office\1042 |
액세스2002 이상은 메뉴줄에서 도구, 보안, 작업
그룹 관리자를 차례로 클릭하여 작업그룹 관리자를 열 수 있습니다.
문
액세스 프로그램(Access.exe)과
로그온(암호확인)창
액세스 프로그램은 작업그룹 파일에 있는 계정을 통해
액세스 파일로 접근하게 할 로그온창을 보여 줍니다. 이 창을 통해 얻은 사용자 계정 정보를 작업그룹
파일의 계정정보와 비교하여 계정 유무와 비밀번호 일치 여부를 확인하고 액세스 파일에 접근하게 할
것인지 아닌지를 결정합니다.
보물
액세스
파일(db1.mdb)과 내재된 개체들
액세스 프로그램의 로그온 창을 통해 얻은 계정 정보를
작업그룹 파일을 통해 인증을 받고 액세스 파일에 접근하면 액세스 파일에 저장된 사용자 계정별 권한
정보에 따라 권한을 부여 합니다. 이 권한에 따라 실제로 보물을 획득할 수도 (개체에 접근할 수도)
못 할 수도 있는 것이지요. 액세스 파일에 사용자의 계정이 없을때는 어떻게 될까요? 사용자 계정을
생성하면 일단 Users그룹에 속하게 된다고 했습니다. 마찬가지로 액세스 파일에 작업그룹 파일로부터
얻은 계정에 대한 정보가 없다면 Users그룹에 할당된 권한을 부여 받게 됩니다.
<짚어 보기>
파일을 생성할 때
기본적으로 생성되는 Users그룹과 Admins그룹계정의 기본권한은 Users는 모든 권한이 있고
Admins는 아무 권한이 없습니다. 거꾸로 된 것 같지 않습니까? 또한 아이러니컬하게도
Admin계정은 모든 파일의 공통 계정인데다가 모든 사용자가 패스워드 없이 접근할 수 있습니다.
이상하지 않습니까?
Crocii가 생각하는 이유는 명백하고 단순하게
‘사용자가 설정하십시오’라는 의미인 것으로 해석 됩니다.
왜 이렇게 이름과는 맞지 않는 상태가 기본 설정일까?
뒤집어서 생각하면 이것들만 설정해 주면 나머지 보안설정이 없는 파일이나 앞으로 생성될 파일들과는
확연히 구분 되는 보안이 갖추어진 파일이 되는 것이 됩니다!
<네 가지 구성요소의 상호작용과 결과>
위의 그림은 네 가지 구성요소의 상호작용과 그에 따른
결과를 보여 줍니다. 위와 같은 절차로 보안이 이루어
지는 것이지요.
각각의 역할을 실제 액세스상에서 어떤 메뉴를 클릭해서
해야 할지 알아 보겠습니다.
<작업그룹 파일 생성과 연결>
액세스 2000이하
사용자라면 상기의 표1에서
Wkgadm.exe 파일을 찾아서 실행 주면 됩니다.
2002이상
사용자는 언급한 바와 같이 메뉴줄에서 도구, 보안,
작업 그룹 관리자를 차례로 클릭하여 작업그룹관리자를 실행할 수 있습니다.
네트워크로 작업이 이루어지고 네트워크로 배포하게 된다면
작업그룹 파일은 생성하거나 다른 작업그룹 파일에 참가 할 때 설정 경로를 아예 네트워크상의
UNC경로로 설정하십시요.
찾아보기 버튼을 클릭한 후 아래와 같이
네트워크 환경으로 들어가서 자신의 컴퓨터를 찾아 작업그룹이 있는 공유해 둔 폴더에 들어가
작업그룹파일을 선택하면 됩니다.
이렇게 설정해서 배포하면 사용자들에게 작업그룹파일에
참가(Join)하라는 요청을 하지 않아도 되기 때문에 편리합니다.
네트워크로
연결될 수 없는 상황이라면 해당 작업그룹 파일을 액세스 응용프로그램 파일과 같이 배포하여 작업그룹
파일에 참가하고 액세스 응용프로그램을 열도록 알려 주십시요. 그래야 설정한 권한을 획득하게 됩니다.
<로그온 암호창을 통해 사용자 계정 정보를 액세스>
작업그룹의 계정정보를 얻기 위해서는 액세스의 로그온 창에
계정정보를 입력해야 합니다. 이 로그온 창을 열기 위해서는 메뉴줄의 도구, 보안, 사용자 및
그룹계정을 차례로 클릭합니다.
로그온 암호 변경탭을 클릭하고 새 암호와
확인 항목에 아주 간단하고 기억하기 좋은 암호를 넣고 현재 암호는 비워 둔 채로 확인
버튼을 클릭합니다.
이제 어떤 액세스 파일을 열더라도 항상 로그온 창이
열리게 됩니다.
사용자가 기입한
계정정보가 현재 참가한 작업그룹 파일에 존재하고 암호가 일치하면 파일을 열게 됩니다. 위의 정보가
일치하지 않으면 어떤 파일도 열어 주지 않습니다. 계정을 잊었다면 모든 파일에 공통적으로 존재하는
Admin계정을 사용하십시요. 이 때 사용할 Admin계정의 암호는 무엇이겠습니까? 방금 설정한
간단한 암호 그것이겠지요.
다음 팁에서 사용자 계정을 할당하는 것과 권한을 부여하는
것에 대해 설명 하겠습니다. 여기에도 재미있는 비밀(?)이 숨겨져 있습니다. 다음 팁도 기대해 주시길
바라며.. ^^ |