암호 변경 시 다음 로그온 프로시저 강제로 위임된 관리자는 필요한 최소 권한은

기술 자료 번역 기술 자료 번역
기술 자료: 296999 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

현상

기본적으로 들어, 위임 제어 마법사를, 해당 사용자가 사용하여 사용자 또는 그룹을 암호를 재설정할 수, 관리자는 위임 또는 그룹 권한 암호를 재설정할 사용자를 사용자 강제로, 다음에 사용자가 로그온할 때 암호를 변경할 수 없습니다. 하지만 암호를 다시 설정할 수 있는 권한을 부여할 사용자 사용자 계정을 마우스 오른쪽 단추로 암호 다시 설정 을 클릭한 다음 다음 로그온할 때 암호 변경 확인란을 클릭하면, 후자는 사용자 암호를 재설정할 경우 이 사용자가 다음에 이 사용자가 로그온할 때 암호를 변경할 강제로지 않습니다.

원인

사용자 계정 제한 쓰기 권한이 사용자 개체에 대한 다음 로그온할 때 암호를 변경할 옵션을 설정하려면 필요한 필요한 최소 사용 권한을 갖고 있지 않기 때문에 이 문제가 발생합니다. 암호를 다시 설정할 수 있는 권한을 위임할 때 위임된 컨테이너 통해 부여된 유일한 사용 권한이 사용자 개체에 대한 암호 재설정 권한이 됩니다.

해결 방법

제어 위임 마법사를 사용하여 암호 재설정 위임할 수 위임된 사용자 권한. "다음 로그온할 때 반드시 암호 변경" 플래그 변경하려면 위임된 사용자가 사용자 컨테이너에 대한 쓰기 권한이 있어야 합니다 반면. 그러나 쓰기 권한이 위임된 사용자가 추가 권한 제공합니다. 계정 제한 쓰기 즉, 다른 사용자 속성에 대한 액세스를 제공하는 슈퍼 권한 사용 권한입니다. 다음 로그온할 때 암호를 변경하도록 강제로 pwdLastSet 속성을 사용할 수 있습니다. 기본적으로, 개별 사용 권한을 볼 수 없습니다. 사용 권한을 필터링 Dssec.dat 파일에서 값을 제어할 수 있습니다. 이 문제를 해결하려면 다음 단계를 헬프 데스크 라는 사용자 정의 그룹 암호 재설정 및 pwdLastSet 속성의 대해서만 사용 권한을 위임할 수 있습니다.
  1. 사용자 권한에 대한 필터 사용 안 함:
    1. 시작, 실행 을, Dssec.dat열기 상자에 입력한 다음 확인 을 누릅니다.
    2. 메모장 을 누른 다음 확인 을 누릅니다.
    3. pwdLastSet 값을 변경하여 [사용자] 섹션에서 편집할 pwdLastSet = 7pwdLastSet = 0.
    4. 메모장을 종료하십시오.
    참고[컴퓨터] 섹션에서 pwdLastSet 값을 변경하지 마십시오. 기본적으로 Windows Server 2003 Dssec.dat 파일의 [사용자] 구역에 pwdLastSet 값이 존재하지 않습니다. 따라서 Windows Server 2003을 실행하는 경우 수동으로 추가해야 합니다.
  2. 헬프 데스크 그룹에 사용 권한을 위임:
    1. 시작, 실행, 열기 상자에 dsa.msc 입력합니다 누른 다음 확인 을 누릅니다.
    2. 사용 권한을 위임할 조직 구성 단위를 마우스 오른쪽 단추로 클릭한 다음 제어 위임 을 클릭하십시오.
    3. 다음 을 클릭한 다음 추가 클릭하십시오.
    4. 헬프 데스크, 추가 클릭한 다음 확인 을 누릅니다.
    5. 다음 을 클릭하여, 대리인에게 사용자 지정 작업 만들기 를 선택하고 을 누릅니다.
    6. 폴더에 있는 다음 개체만 누르고 사용자 개체 를 선택하려면 확인란을 선택한 후 다음 을 클릭합니다.
    7. 일반, 속성별 확인란을 선택합니다.
    8. 암호 재설정, 읽기 pwdLastSetpwdLastSet 쓰기권한 확인란을 눌러 선택을.
    9. 다음 을 누른 다음 마침 을 누릅니다.
  3. 사용자 권한에 대한 필터 사용:
    1. 시작, 실행 을, dssec.dat열기 상자에 입력한 다음 확인 을 누릅니다.
    2. 메모장 을 누른 다음 확인 을 누릅니다.
    3. pwdLastSet 값을 변경하여 [사용자] 섹션에서 편집할 pwdLastSet = 0pwdLastSet = 7.
    4. 메모장을 종료하십시오.
또한 보안 변경 사항을 확인하려면 다음 이 단계를 수행하십시오.
  1. 시작, 실행 을, dsa.msc 를 입력한 다음 확인 을 누릅니다.
  2. 보기 메뉴에서 고급 기능 을 선택하십시오.
  3. 사용 권한을 위임할 조직 구성 단위를 마우스 오른쪽 단추로 클릭한 다음 속성 을 클릭하십시오.
  4. 보안 탭에서 헬프 데스크 그룹을 클릭한 다음 고급 을 클릭하십시오.
  5. 권한 항목 에서 읽기/쓰기 속성 을 클릭한 다음 보기/편집 을 클릭하십시오.
  6. 경우에만 해당 pwdLastSet 읽기쓰기 pwdLastSet 속성을 허용 설정되어 있지만 헬프 데스크 다른 속성에 액세스할 볼 수 있습니다.

추가 정보

사용 권한을 위임하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서를 보려면 해당 자료의 문서를 참조하십시오.
235531Active Directory 위임 기본 보안 문제
229873사용자 또는 그룹 제거 위임 제어 마법사는 사용할 수 없다
296490개체의 필터링된 속성을 수정하는 방법

속성

기술 자료: 296999 - 마지막 검토: 2006년 10월 31일 화요일 - 수정: 3.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
키워드:?
kbmt kbacl kbprb KB296999 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com