[완료] Windows domain administrator가 원격 desktop에 접속할 때...

eccebae의 이미지

그 원격 desktop의 user의 permission을 구하거나,
notification이 가나요?

원격 deskop에 접속한다는 것은
VNC를 사용하는 것과 마찬가지의 효과가 있는 것이지요?

Windows 서버나 AD 관련 책을 봐도
설치, 설정, 적용 이런 내용만 있지 이런 세부적인 내용을 찾을 수는 없어서 질문드립니다.

academic의 이미지

그 원격 desktop의 user의 permission을 구한다는게 정확히 뭘 말씀하는지 모르겠습니다만...

당연히... 그 원격 PC에 권한이 있어야 사용 가능합니다.

원격 PC의 도메인의 멤버라면 이미 도메인 관리자라에게 권한이 부여되어 있을 거고요.

notification이 간다는 것 역시 뭘 의미하는지 정확히 모르겠습니다만,

로그인 기록은 이벤트 로그에 남습니다.

--
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

----
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

lia808의 이미지

원격 데스크톱으로 접근하면 로컬은 로그아웃되니까 완전히 같지는 않죠

academic의 이미지

lia808 님 말씀한 걸 보니...

질문자의 의도가 짐작이 되네요.

로컬 사용자의 허락을 구하지 않습니다.

일반적인 클라이언트 OS(XP 프로페셔널 등)에선 로컬 사용자가 튕겨져 나갈거고...

서버 OS에서는 다른 원격 접속 세션이 없다면 로컬 사용자는 그대로 사용할 수 있습니다.

그런 점이 VNC하고는 다른 점입니다.

--
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

----
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

eccebae의 이미지

저는 누가 제 허락/동의도 없이 제가 사용하는 공책을 들여다 본다면 기분이 나쁠 것 같습니다.
설령 그 공책을 부모님이 사 주셨고, 부모님이 고용한 가정교사가 들여다 보았다 하더라도요...

위 상황에,
공책을 XP desktop, 가정교사를 domain administrator로 대입했을 때가
궁금해서 질문한 것입니다.

academic의 이미지

일반 사용자 입장에서 본다면...

집에서야 도메인 가입하지 않고 쓸테니 상관 없을테고...

회사라면 감수해야할 부분이지 않나 싶은데요.

바꿔서 관리자 입장에서 봤을 때...

관리자가 접근할 수 없는 PC가 있다면 그 관리자 상당히 피곤할 겁니다.

도메인이란 걸 처음 만든 이유도 관리 편의를 위해서 만든 거니까요.

그리고, 특별한 상황이 아닌한

관리자가 로컬 사용자가 사용하고 있을 때

원격 접속을 하진 않습니다.

로컬 사용자의 작업에 지장을 주기 때문이지만....

로컬 네트웍이라면 굳이 원격 접속을 하지 않아도 대부분의 작업을 할 수 있기 때문이기도 하죠
--
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

----
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

eccebae의 이미지

Microsoft에서 원래 제공하는 기능으로
screenshot taking이라든지, key logging 까지 가능한가요?

현재 제가 사용하는 업무용 PC에
V3 enterprise, Norton endpoint protection, Softcamp 문서보안, TCO stream 등이 깔려 있으니,
screenshot taking, key logging 등 이것들을 통해서 가능하겠지만...

Windows Active Directory나 Microsoft 제품에서 기본으로 제공되는 기능이 있나 해서요...

mycluster의 이미지

질문의 배경과 의도는 알겠으나, 질문의 목적이 잘못되었습니다.

쓰고 계신 컴퓨터에 질문자가 로컬사용자로 로그인하였고, 도메인관리자가 로컬사용자의 허락/동의없이 들여다 보는것이 기분나빠서 물어보신듯 하나...

도메인관리자의 허락에 의해서 님이 로컬사용자(또는 로컬관리자)로 컴퓨터를 사용하는 것입니다. 따라서, 질문의 의도와는 반대로 동작하는 것이라는 것을 아시는 것이 좋겠네요.

도메인 어드민의 권한이 가장 상위의 권한이라고 생각하시면 맘편합니다.

그리고, 도메인에 조인된 PC에 대해서는 event log 등 로컬 컴퓨터의 관리에 관한 사항은 도메인관리자는 기본적인 기능으로 전부다 볼 수 있습니다. 그리고, 3rd Party 제품의 경우 로컬사용자의 권한에 상관없이, 감시용 프로그램을 설치할 수 있고, 그런 프로그램 중에서는 키로그 뿐만 아니라, 화면 자체를 모두 녹화를 떠서 보관해주는 솔루션도 많습니다.

회사 피시에 감시솔루션이 깔리는 것이 불만이시라면 회사를 그만두시거나 사장이 되시거나 둘중의 하나를 하시면 됩니다.

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

eccebae의 이미지

1. 제가 질문한 목적이 잘못되었다라... 하셨는데
Fact를 fact로써 확인하려는 것이 왜 잘못된 목적인지 잘 모르겠습니다.

2. 추가적으로,
제가 님의 답변에서 궁금한 것은 "로컬 컴퓨터의 관리에 관한 사항"이라고 적으신 것에
제가 구체적으로 적은 로컬 사용자/관리자 모르게 process를 시작할 수 있느냐 등이
포함되는가를 확인해 주시면 감사하겠습니다.

3. 도메인 어드민이 도메인에 조인시켜 줬다.IT/Network 적으로만 보자면 그렇습니다.

물론 기업이 자본의 논리로 움직이는 것이기에, 반드시 민주적 공동체일 필요는 없지만
agenda에 대해서 충분한 지식을 구성원에게 전달하고 어떤 policy를 결정하는 것이
더 바람직하다면
구성원들에게 domain에 join되어 있다는 것의 의미를 정확하게 전달하는 것이
필요하다고 생각합니다.

4. Employer의 eployee에 대한 감시권한을 포괄적으로 인정하는 미국 과는 달리
EU 쪽에서는 한정적으로 허여하는 경향이 있다고 하더군요.
(http://www.privacyinternational.org/article.shtml?cmd[347]=x-347-559090)
"workers should be informed in advance of any monitoring"
- 위 문장은 미국도 EU도 아닌 UN 기구인 ILO의 guideline에 있는 것입니다.
물론 guideline은 guideline일 뿐이긴 하죠...

mycluster의 이미지

질문이 잘못되었다는 것을 상기시켜드리고 싶군요. 물어본대로, 로컬사용자의 허락없이 감시가 가능한가요? 라는 질문에 대해서 질문자체가 성립되지 않는다는 것을 말씀드리고 싶군요. 허락을 받을 필요가 없는 사실에 대해서 "허락없이 가능한가요?"라는 질문은 틀린(잘못된이 bad가 아니라는 뜻이죠) 질문이라는 듯입니다.

2. 추가적으로,
제가 님의 답변에서 궁금한 것은 "로컬 컴퓨터의 관리에 관한 사항"이라고 적으신 것에
제가 구체적으로 적은 로컬 사용자/관리자 모르게 process를 시작할 수 있느냐 등이
포함되는가를 확인해 주시면 감사하겠습니다.

-- 당연히 가능한 기능이고, 이것에 대해서는 앞서 말한대로, "로컬 사용자/관리자 모르게"라는 가정 자체가 틀렸다고 보시면 됩니다. 로컬사용자나 관리자는 이 내용에 대해서 알 필요도 없고, 알려줄 의무도 없습니다.
그리고, 도메인에 조인시키게 되면 로컬관리자 권한은 도메인관리자가 제공하지 않는한은 받을 수도 없습니다.
이해되시죠? 로컬사용자나 관리자가 있고 없고, 알고 모르고에 상관없이 도메인관리자는 도메인에 속한 컴퓨터들의 프로세스에 대해서 시작종료 권한을 갖고 있습니다. 로컬사용자는 그 권한을 도메인관리자가 부여할 때만 갖게 된다고 생각하시는 것이 편하죠.

관리자가 직원의 피시에 대해서 감시를 한다는 것에 대해서는 민감한 주제겠지만, 바꿔서 생각하면 "회사는 회사의 컴퓨터"에 대해서 관리하고 감시할 뿐입니다. 직원은 그 PC를 사용해서 일을 할 뿐인거죠.

그리고 직원들에게는 기술적인 내용을 알려주는 것보다는 "회사 자산으로는 회사 업무에 관련된 일을 하라"고만 전달하면 될 뿐입니다. 물론 보안교육이나 자산관리 지침은 사내 규정에 있을테니 그걸 정의해놓으면 되는 것이죠.

회사의 정책이 마음에 안들면 두가지 방법을 택하면 될 것으로 보입니다.
1. 회사를 그만둔다.
2. 소송을 하거나, 노조를 통해 이의를 제기한다.

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

eccebae의 이미지

하지만 다른 부분에 대해서,
님은 굉장히 공고한 생각의 틀을 가지고 계시군요.

관련되서 넓게 깊게 보면
그 시각 자체가 여러 시각 중의 하나라는 점이라는 말씀은 드리고 싶습니다.

하여간 감사합니다.

입장을 바꿔놓고 IT관리자의 입장에서 보면
님과 같은 시각을 갖는게 정서적으로 거의 당연하다고 하겠지요~

좋은 1주일 보내세요~

academic의 이미지

여러 시각 중의 하나라는 건 옳은 말씀입니다만,

mycluster 님의 글에 대해

IT 관리자의 정서적인 이유로 그런 시각을 갖는다고 보는 건 님의 편견입니다.

제대로 관리되지 않은 PC 한대가 전체 시스템을 마비시키는 일은 아주 흔한 일입니다.

개인 프라이버시가 필요하다면 자기 PC 가지고 집에서 작업을 하면 되는 일입니다.

그것까지 막는다면 문제가 되겠지요.

--
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

----
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

eccebae의 이미지

Virus나 Worm 같은 문제가 발생할 수도 있지요.

하지만, 아래와 같은 경우라면
system 관리를 위해 주어져 있는 권한이 abuse되고 있다고 추정할 수 있지 않을까요?
제가 지나치게 sensitive한 건지도 모르겠지만...
그리고, IT 관리자가 사용자 컴퓨터에 어떤 파일이 들어 있고,
메일 내용이 어떠한가를 employer에게 제공하고,
그것에 근거해서 employer의 대리자가 행동하는 것이
abuse가 아니라고 얘기하실 분도 있겠지만...

아래와 같은 상황에 대해서는 어떻게 생각하시는지요?

물론 예전에 저도 부주의하기는 했습니다만...
(금융 Online 거래를 OTP를 안쓰고 비밀번호 카드를 썼는데
그걸 scan을 떠서 사무실 컴퓨터에 놓아 두었었거든요...)

팀장이 와서 자기는 '은행 비밀번호 카드를 scan해 놓고 쓴다'라고 얘기를 하든지...
자기는 '메일을 읽고나서 unread 상태로 바꿔놓는 습관이 있다'라고 얘기를 한다든지...
(슬슬 제 메일 내용에서 사용한 일상 대화에서 별로 사용되지 않는 어구를 사용해가면서요...)

맞습니다. 제 표현에 '정서상'이라고 쓴 것은 편견이 있는 표현이었습니다.
그것보다는 '순전하게 IT적인 입장에서 보자면' 이라는 단서를 붙여야 겠군요.

(그리고, 제가 속해 있는 회사의 CIO는 '우리 회사에는 직원 컴퓨터를 monitoring을 하는 사람이 없다'
라고 말했었지요.
지금와서 생각해 보면, 그 말이 진실일 것이... IT Outsourcing 준 회사에서 할 테니까요...)

최소한 저는
일부의 진실만 얘기함으로써 전체의 진실을 왜곡시키는 것이 honest한 행동이라고 생각되지 않고,
IT 관리자를 통해서 알 수 있는 사항을 이용해서
심리적 위협을 시도하는 팀장이 authority가 있다고 생각하지도 않습니다.

academic의 이미지

같은 얘기를 end user 관점에서 보느냐 전체 관점에서 보느냐의 차이만 있는 것 같긴 합니다.

말씀하시는 바도 잘 알아들었고요.

참고로

팀장이 실제로 IT 관리자를 통해서만 알 수 있는 자신에 대한 사항을 안다고 해도

님이 이를 법률적으로 문제를 삼기는 힘들겁니다.

비슷한 이유로 흥분한 제 동료가 소송을 해보겠다고 변호사에게 법률적 자문을 구했는데, 결과가 부정적이었습니다.

고로, 개인적인 것은 집에서 개인PC를 통해 하는 것이 상책입니다.

--
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

----
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

eccebae의 이미지

저도 법적인 측면에서 접근하는 것은 아닙니다.

Leadership을 구성하는 신의와 권위의 측면에서 본 것이지요.

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.