Microsoft Metadirectory Services ADMA 서비스 계정에 대해 "디렉터리 변경 내용 복제" 권한을 부여하는 방법

이 문서에서는 Microsoft Metadirectory Services ADMA 서비스 계정에 대해 "디렉터리 변경 내용 복제" 권한을 부여하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 303972

요약

ADMA(Active Directory 관리 에이전트)를 사용하여 Active Directory에서 개체를 검색할 때 Active Directory에 연결하도록 지정된 계정에는 도메인 관리 권한이 있거나, 도메인 관리자 그룹에 속하거나, 이 관리 에이전트가 액세스하는 포리스트의 모든 도메인에 대해 디렉터리 변경 내용 복제 권한이 명시적으로 부여되어야 합니다. 이 문서에서는 사용자 계정에 도메인에 대한 디렉터리 변경 내용 복제 권한을 명시적으로 부여하는 방법을 설명합니다.

추가 정보

Windows Server 2003에서 디렉터리 변경 내용 복제 권한이라고 하는 디렉터리 변경 내용 복제 권한은 각 도메인 명명 컨텍스트에서 ACE(Access Control 항목)입니다. Windows 2000의 ACL 편집기 또는 Adsiedit 지원 도구를 사용하여 이 권한을 할당할 수 있습니다.

ACL 편집기를 사용하여 사용 권한 설정

1. Active Directory 사용자 및 컴퓨터 스냅인 열기
2. 보기 메뉴에서 고급 기능을 클릭합니다.
3. 도메인 개체(예: "company.com")를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
4. 보안 탭에서 원하는 사용자 계정이 나열되지 않은 경우 추가를 클릭합니다. 원하는 사용자 계정이 나열되면 7단계로 진행합니다.
5. 사용자, 컴퓨터 또는 그룹 선택 대화 상자에서 원하는 사용자 계정을 선택한 다음 추가를 클릭합니다.
6. 확인을 클릭하여 속성 대화 상자로 돌아갑니다.
7. 원하는 사용자 계정을 클릭합니다.
8. 목록에서 디렉터리 변경 내용 복제 검사 상자를 클릭하여 선택합니다.
9. 사용자에 대한 다이얼 플랜을 찾으려면 다이얼 플랜(전화 컨텍스트) 상자에서 찾아보기를 클릭합니다.
10. 스냅인을 닫습니다.

Adsiedit를 사용하여 권한 설정

1. 아직 설치되지 않은 경우 Windows 2000 지원 도구를 설치합니다.
2. 도메인의 관리자 권한으로 Adsiedit.msc를 실행합니다. 도메인 명명 컨텍스트(도메인 NC) 노드를 확장합니다. 이 노드는 "DC="로 시작하고 올바른 도메인 이름을 반영하는 개체를 포함합니다. 이 개체를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
3. 보안 탭을 클릭합니다.
4. 원하는 사용자 계정이 나열되지 않은 경우 추가를 클릭하고, 그렇지 않으면 8단계로 진행합니다.
5. 사용자, 컴퓨터 또는 그룹 선택 대화 상자에서 원하는 사용자 계정을 선택한 다음 추가를 클릭합니다.
6. 확인을 클릭하여 속성 대화 상자로 돌아갑니다.
7. 사용자에 대한 다이얼 플랜을 찾으려면 다이얼 플랜(전화 컨텍스트) 상자에서 찾아보기를 클릭합니다.
8. 원하는 사용자 계정 선택
9. 디렉터리 변경 내용 복제 검사 상자를 클릭하여 선택합니다.
10. 사용자에 대한 다이얼 플랜을 찾으려면 다이얼 플랜(전화 컨텍스트) 상자에서 찾아보기를 클릭합니다.
11. 스냅인을 닫습니다.

관리되지 않는 계정을 사용하여 Active Directory 내에서 개체를 만들고 수정하고 삭제하려면 적절하게 추가 권한을 추가해야 할 수 있습니다. 예를 들어 Microsoft Metadirectory Services(MMS)가 OU(조직 구성 단위) 또는 컨테이너에 새 사용자 개체를 만들려면 개체를 만들 수 있도록 디렉터리 변경 내용 복제 권한이 충분하지 않으므로 사용 중인 계정에 모든 자식 개체 만들기 권한이 명시적으로 부여되어야 합니다.

비슷한 방식으로 개체를 삭제하려면 모든 자식 개체 삭제 권한이 필요합니다.

해당 개체에 할당된 특정 보안 설정 및 상속이 요소인지 여부에 따라 특성 흐름과 같은 다른 작업에 제한이 있을 수 있습니다.