[Best Practice] Windows 서버 WAS 권한 체계 구축 가이드
Windows 환경에서 WAS(Tomcat, JBoss, IIS 등)를 안정적으로 운영하기 위해 **‘소유권 분쟁’**과 ‘액세스 거부’ 에러를 원천 차단하는 표준 보안 설정법입니다.
1. 계정 및 그룹 설계 (Account Design)
개인 계정이 아닌 서비스 전용 계정과 권한 관리용 그룹을 분리하여 관리 효율성과 보안성을 동시에 확보합니다.
🛠 관리자 명령 프롬프트(CMD) 명령어
DOS
:: 1. WAS 관리 전용 로컬 그룹 생성
net localgroup WAS_Managers /add
:: 2. 서비스 구동용 계정 생성 (일반 사용자 권한)
:: /passwordchg:no 옵션으로 서비스 중단 방지
net user svc_was P@ssword123 /add /comment:"WAS Service Account" /passwordchg:no
:: 3. 관리용 그룹에 멤버 추가 (서비스 계정 + 실제 운영자들)
net localgroup WAS_Managers svc_was /add
net localgroup WAS_Managers aaaa /add
net localgroup WAS_Managers bbbb /add
2. 폴더 권한 및 상속 설정 (ACL & Inheritance)
Windows 보안의 핵심인 **‘권한 상속’**을 활용하여, 서버 구동 중 생성되는 로그나 임시 파일이 소유권 문제로 인해 삭제/수정되지 않는 상황을 방지합니다.
🛠 설정 절차 (GUI 중심)
-
루트 폴더 생성:
C:\was(모든 WAS 인스턴스의 부모 경로) -
보안 속성 진입:
C:\was우클릭 → [속성] → [보안] 탭 → [고급] 클릭 -
권한 부여:
-
[추가] 클릭 → [보안 주체 선택] →
WAS_Managers입력 후 확인 -
권한:
모든 권한또는수정(Modify)체크 -
적용 대상:
이 폴더, 하위 폴더 및 파일선택
-
-
상속 강제 적용 (가장 중요):
-
창 하단의 [모든 자식 개체 사용 권한 항목을 이 개체의 상속 가능한 사용 권한 항목으로 바꾸기] 체크
-
[확인]을 눌러 하위의 모든
tomcat,logs폴더에 권한을 일괄 전파
-
3. 서비스 로그온 권한 부여 (Service Logon Right)
생성한 svc_was 계정이 일반 사용자 권한임에도 불구하고 시스템 서비스를 구동할 수 있도록 권한을 승인합니다.
🛠 로컬 보안 정책 설정
-
Win + R→secpol.msc실행 -
로컬 정책 → 사용자 권한 할당 이동
-
[서비스로 로그온] 항목 더블 클릭
-
svc_was계정을 명단에 추가 후 확인
4. WAS 서비스 실행 설정 (Service Configuration)
이제 실제 등록된 서비스를 특정 계정으로 구동하도록 연결합니다.
-
services.msc실행 → 해당 WAS 서비스(예: Tomcat) 우클릭 → [속성] -
[로그온] 탭 클릭 → [다음 계정으로 지정] 선택
-
svc_was계정과 비밀번호 입력 후 서비스 재시작
💡 실무 핵심 요약 (Cheat Sheet)
항목
설정 권장 사항 (Best Practice)
이유
권한 주체
개인 계정이 아닌 전용 그룹에 부여
멤버 교체 시 폴더 권한 수정 불필요
상속 설정
부모 폴더에서 상속 강제 적용
새로 생성되는 로그 파일의 접근권 보장
계정 권한
서비스 계정은 Standard User 유지
해킹 시 시스템 전체 장악 방지 (최소 권한)
수동 실행
관리자가 직접 실행 시 그룹 추가 필수
그룹 추가 후에는 반드시 재로그인 필요
댓글 없음:
댓글 쓰기