윈 도 우 최고관리자 권한(TrustedInstaller)얻기
2014.04.03 22:57
이미 아는 분들도 많으시겠지만...
혹시 모르는 분들을 위해 그냥 올려 봅니다... 하핫
윈도우 비스타부터 적용된 '계정간의 권한' 개념...
보안 강화를 위해 적용되었지만 버그나 불편도 많습니다.
특히, 'TrustedInstaller에서 사용권한을 부여받아야 합니다'등의 메시지는 사람 돌게 하죠.
그래서 제가 그런 문제들을 해결할 수 있는 레지스트리 파일을 올려드립니다.
원래는 일일이 권한을 상속시키는 작업을 해야하지만 귀찮잖아요.
우선 파일을 다운로드한 다음 압축을 풀면 'InstallTakeOwnership.reg'라는 레지스트리 파일이 보일 겁니다.
그걸 더블클릭으로 설치해 주세요.
그런 다음, 파일 또는 폴더에 오른쪽 마우스 클릭을 하면 'Take Ownership'이라는 항목이 있을 겁니다.
그걸 클릭한 뒤 그 파일 또는 폴더를 변경 또는 삭제하면 정상적으로 잘 됩니다.
* 그리고, Windows의 권한 계급 체제가 이렇더군요.
최상위 등급 : TrustedInstaller
차상위 등급 : Administrator(윈도우를 맨 처음 설치할 때 생성한 계정)
3등급 : 일반 계정(표준 계정)
혹시 틀린 부분 있으면 지적 부탁드립니다!
그리고 제 블로그 blog.naver.com/hsm990816 도 좀 들러주세요... ^^
댓글 [26]
-
박삿갓 2014.04.03 23:24
-
ITforce 2014.04.03 23:32
감사합니다 박삿갓님~^^
확인해본 결과 정말로 사용 방법에서 반대로 되어 있는 것을 확인했습니다.
제대로 확인하지 않고 업로드한 점 죄송합니다.
그리고 밑의 질문에 대한 답변으로는
'그 명령어로 삭제 명령을 내릴 시 가끔씩 삭제가 안 되는 파일이 있을 수 있다.'입니다.
윈도우7에서 Administrators보다 더 높은 권한을 가진 계정이 TrustedInstaller입니다...
위 명령어의 경우 Administrator 권한만을 부여하기 때문에 TrustedInstaller 권한이 필요한 경우에는
삭제가 안 되게 됩니다.
제가 올린 레지스트리를 메모장으로 확인해 본 결과, 박삿갓님이 쓰신 명령어와 똑같은 명령어를 사용했습니다.
그러나 Administrators 에 TrustedInstaller의 권한을 상속시킨 것 뿐이죠...
결론적으로는 'subinacl'명령어와 똑같다. 이겁니다...
답변이 도움이 되길 바랍니다...
-
ITforce 2014.04.03 23:35
참고로 'subinacl /subdirectories c:\ /setowner=Administrators /grant=Administrators' 명령어로는
삭제가 안 되는 파일이 있을 수 있습니다. 제가 위에 약간 애매하게 설명한 것 같아서 다시 올려 드립니다...
-
박삿갓 2014.04.03 23:49
빠른답변 고맙습니다.
subinacl 로는 삭제를 못하는 것도 있군요.
저는 요즘 subinacl 로 사용을 했는데요 이번에 바꿔야겠습니다.
하나 더 문의를 드리겠습니다.
저는 윈도우를 클린 설치할때(주로 엔트버전 x64) 엔트만 마운트해서
subinacl 로 전부 권한 가져오기를 적용한 후 설치를 했습니다.설치는 WinNTsetup 로요,
이렇게해도 돼는지 이렇게하면 설치 후에 권한 가져오기한게 그대로 적용이 되는지 궁금합니다.
또 권한가저오기를(설치 전, 후에) 하고 난 후 권한가져오기가 적용이 됐는지는 확인하는 방법이 있는지요?
권한가져오기를 적용한뒤 프로그램(윈도우)실행할때 관리자 권한으로 실행을 안하고
그냥 실행해도 관리자 권한으로 실행이 되는지 궁금합니다.
쓰다보니 글이 길어졌습니다.
고맙습니다.
-
ITforce 2014.04.04 00:29
박삿갓님의 설치 방식을 보니... WINNTSETUP을 사용하신 것으로 보아 윈도우 PE로 설치를 진행하신 것으로 보입니다.
(그리고 정말 죄송한 것이... 이 레지스트리가 프로그램에는 'Take Ownership'이 생성되지 않더군요...
제대로 알아보지 않고 실수로 적은 점 매우 송구스럽게 생각됩니다. 이 레지스트리는 오로지 '폴더'에만 적용이 됩니다.)
그러한 방식으로 전부 권한을 가져온 뒤에 설치해도 상관은 없습니다. 그러나 설치 후에 권한 가져오기한 건 적용이 안 된다고 알고 있습니다.(저도 박삿갓님과 같은 방법으로는 설치를 안 해 봐서 잘 모르겠습니다. 오늘이나 내일 중으로 실험 후 정확한 답변 드리겠습니다.)
그 이유는 그 subinacl로 권한 가져오기 작업을 한 건... 윈도우 PE에서만 유효하지 실제로 설치한 윈도우에는 영향을 미치지 않을 겁니다... 윈도우 PE란 게 램디스크에 설치하는 임시 윈도우이니 PE를 종료하면 권한패치도 사라지죠... 왜냐하면 그 권한패치란 게 파일 또는 폴더에 그러한 특성을 가지게 하는 게 아니라 윈도우상에서 그 폴더의 권한을 일시적으로 상승시키는 것이기 때문입니다. 그래서 설치 후에는 그 속성이 없어진다고 알고 있습니다...
이상 부족한 답변이었습니다. 그럼에도 불구하고 칭찬해주셔서 감사합니다...
-
박삿갓 2014.04.04 00:49
송구하다니요... 제가 더 고맙습니다. 자세히 설명 해 주시고 도 여러가지 배우기도 합니다.
윈도우 설치는 정상 부팅이 않되는 경우 외에는 그냥 윈도우로 부팅해서 WinNTsetup 로 VHD 에 설치를 합니다.
이런 후 로그인은 administrator 로 로그인 합니다. 로그인하면 권한 가져온게 유지가 되는지가 궁금하더군요.
또 폴더에만 적용이 가능하다면 폴더에있는 파일과 하위 폴더 및 파일 모두 권한 가져오기가 된다고 보면 될가요?
테스트 해 주신다니 너무 고맙습니다.
늦은시간에 빠런 답변 정말 감사합니다.
-
DarknessAngel 2014.04.04 05:58
좀 귀찮아도 그건 안 하시는게 좋습니다
보안상 너무 심각한 문제가 됩니다
쉽게 접근 못하게 막아둔건 다 이유가 있는거니 필요할때만 쓰고, 남발 안 하는게 정답이죠
-
cinebus 2014.04.04 00:51
특별히 삭제나 관리자 계정이 필요한 상황이 많이 발생되지는 않지만, 언젠가는 필요할거라 생각되는군요.
등록은 되었는데 어떻게 사용해야할지는 미지수네요.
고맙습니다.
-
ITforce 2014.04.04 12:59
예~~ 감사합니다~~
-
GSM 2014.04.04 02:04
Take Ownership이 최고관리자였군요.
제 컴엔 언제부턴지 설치때부턴지도 몰라도..우클릭메뉴에 있더라구요
이게 뭔지 몰라서 쓰지도 않고 있었는데..알려주셔서 감사합니다
혹시 몰라서 올려주신 레지삭제로 기존거를 지워봤는데 지워지지는 않네요.
레지등록하면 중복되서 메뉴가 생기는걸 보니 조금 다른건가 싶기도 하고..
-
카리스마조 2014.04.04 07:01 Take Ownership의 진정한 의미는 관리자나 권한을 부여하는 것이 아니라 파일이나 폴더의 소유권을 변경하는 것입니다.
파일이나 폴더의 소유권이 다른 계정에 있기 때문에 사용자 계정으로 파일이 삭제되거나 수정 안되는 것입니다.
그래서 Take Ownership을 사용하여 파일의 소유권을 사용자가 가지고 오는기능을 하는것이 Take Ownership입니다.
그러니 사용자가 접근할수 있는 어떤 계정이라도 상관이 없다는 것입니다.
사용자가 접근할수 있는 계정으로 아무거나 해도 동일한 효과가 나오게 되는 것입니다.
특정 시스템 파일은 소유권을 잘못 가져오면 시스템에서 접근이 안되기 때문에 에러가 발생합니다.
모두 접근 가능한 계정은 *S-1-1-0 입니다.
-
빠다 2014.04.04 07:58
카조님이 첨부하신 TakeOwnership.reg를 이용하여 Take Ownership 을 사용해서 접근금지 폴더 내부를 볼수 있었습니다
그런데 폴더를 다시 접근금지로 원상복구 시키려면 어떻게 해야하는지요?
-
카리스마조 2014.04.04 08:41 폴더를 마우스 오른쪽 버튼을 눌러 -속성-보안-편집 Everyone 계정을 삭제하시면됩니다.
처음부터 없었던 계정이기 때문에 삭제하면 바로 원상복귀 됩니다.
소유자도 자동으로 초기화 됩니다. 다른 계정으로 하면 이미 있던 계정이기 때문에 삭제도 힘들고 삭제하면 문제가 발생합니다.
어떤 의미에서는 필히 제가만든것을 사용해야 하는 것입니다.
저도 시스템 파일을 연구하다가 발견한 것입니다.
예를들어 라이선스를 보관하고 있는 spp폴더를 소유권을 가지고 왔다면 다른 방식의 것들은 시스템이 접근을 못하기 때문에
라이선스에서 오류가 발생합니다.
-
박사유 2014.04.04 09:16
폴더나 드라이브 공유시 Everyone을 추가했었는데, 특정권한이 필요하면 Everyone만 추가하면 되는거군요.
-
카리스마조 2014.04.04 09:46 소유권도 가지고 와야하기 때문에 자동으로 하는것이 편리합니다.
Everyone계정에 파일이나 폴더의 소유권을 변경해줍니다.
Everyone계정에 모든 권한을 부여합니다.
이렇게 동작되는 것입니다.
Everyone계정의 소유권을 다시 자동으로 되돌리는 방법도 생각해 보겠습니다.
그럼 마우스 우클릭에 2개가 등록되는 것입니다.
소유권 가져오기
소유권 돌려주기
-
박사유 2014.04.04 09:54
네.. Everyone추가시 모든권한 부여했었습니다. 감사합니다.
-
ITforce 2014.04.04 13:00
배워갑니다. 지적 감사합니다~~
-
틈새 2014.04.04 07:03
이 레지 적용 후 컴퓨터에 엄청난 과부하가 걸리는 군요. 시피유가 부담을 느끼는데 이유가 뭔가요? 노트북인데, 여러차례 복구하면서 해 봤는데, 레지를 적용하면 곧바로 시피유 온도가 상승하고 팬이 과하게 도는군요. 리무브시켜도 마찬가지구요. 제 컴에서만 그러는 것인지...
-
ITforce 2014.04.04 13:01
제 컴퓨터에서는 이상이 없었는데... 사용하신 분들도 그렇고요. 우선 삭제해 보시고요... 제대로 확인하지 않고 올려서 죄송합니다...
-
틈새 2014.04.04 16:57
아닙니다. 좋은 정보 올려주셔서 감사합니다. 새로 설치한 다음 다시 적용시켜보겠습니다. -
system32 2014.04.04 12:44
TrustedInstaller보다 높은 권한이 SYSTEM 권한으로 알고 있습니다. 커널 5에서는 버그를 써서 얻을 수 있었는데 커널 6부터는 보안문제로 막혔더라구요.
-
DarknessAngel 2014.04.04 18:27
쿨럭; 버그로 그걸 획득가능하단건 악성 소프트도 똑같은짓 가능하단겁니다; (...)
원래라면 서비스나 스케줄러로등으로 올리지 않는한 못 얻어야 정상임
-
초보.눈팅꾼 2014.04.04 18:49
작동은 잘 되는데
경로명이 긴 파일 몇 개는 에러가 납니다.
검은 도스창 흘려 지나가는 메시지 중에 그런 에러 메시지를 봤고요
..
마우스 오른쪽 - 보안 편집 해서, 소유권 가져오기로 해결하긴 했습니다.
윈도우 64비트 폴더중에 경로명이 아주 긴 일부 파일은 안되는 것 같습니다.
그래서 윈도우 폴더 지우면 다 안 지워지는군요
-
ITforce 2014.04.04 22:46
아... 그런 오류가 있었었군요... 그런것들은 언락커로 지워보세요. 그러면 지워질 겁니다. 지적 감사합니다~~
-
그래너디어 2014.04.09 00:58
아예 기본적으로 TrustedInstaller로 계정을 만드는 방법도 있을까요?
-
단유리 2014.04.10 07:47 오^^..
감사합니다 정말로요 ㅋㅋ
고맙습니다.
사용 방법.txt 의 설명이 반대로 되어있는것 같아요?
RemoveTakeOwnership.reg - 레지스트리 등록 파일
마우스 우측 서브메뉴 - "Take ownership" 서브 메뉴 추가
InstallTakeOwnership.reg - 레지스트리 등록된 "Take ownership" 서브 메뉴 삭제
한가지 질문 드립니다.
subinacl /subdirectories c:\ /setowner=Administrators /grant=Administrators
subinacl 이것하고는 어떻게 다런지요?