도메인 컨트롤러 내리기 후에 사용 권한은 영향을 받는 경우

기술 자료 번역 기술 자료 번역
기술 자료: 320230 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

현상

도메인 컨트롤러 수준을 내린 후 도메인 로컬 그룹은 로컬 리소스에 대한 액세스를 제공하는 데 사용되지 않습니다. 참고가 이 문제는 혼합된 모드 도메인에 적용됩니다. 로컬 그룹 액세스 제어 목록 (ACL) 계속 표시될 수 있습니다. 그러나 이를 권한 부여를 위해 사용할 수 없으며 다른 ACL에 추가할 수 없습니다. 사용자가 도메인 로컬 그룹을 사용하여 액세스 정의된 사용자 수준이 내린된 서버에서 리소스를 사용하려고 하면 "액세스가 거부되었습니다" 오류 메시지 또는 해당하는 오류 메시지가 나타날 수 있습니다.

원인

혼합된 모드에서는 도메인 로컬 그룹 범위를 도메인 컨트롤러가 있습니다. 도메인 컨트롤러의 수준을 내릴 때 이 그룹 형식이 범위를 벗어났습니다. 그룹 SID를 ACL에 남아 있고 확인될 수 있지만, 액세스 권한 부여 사용할 수 있습니다. 이유는 도메인 로컬 그룹 구성원 컴퓨터에 로그온되어 있는 사용자의 액세스 토큰에 아닙니다. 도메인이 기본 모드에 있는 경우에만 발생합니다.

해결 방법

이 문제를 해결하려면 다음 방법 중 하나를 사용하십시오.
  • 도메인 모드를 기본 모드로 모든 도메인 구성원에 그룹 범위를 확장하려면 변경하십시오. 이 또한 Windows NT 4.0 백업 도메인 컨트롤러를 복제하는 것을 방지할 수 유의하십시오. Windows Server 2003, Windows NT 4.0에서 Windows 2000 기능 수준으로 지원되지 않습니다. Windows 2000 및 Windows 2003 Windows 2000 기능 수준에서 지원되지 않습니다.
    참고 기본적으로 도메인은 Windows Server 2003 환경에서 Windows 2000 혼합 기능 수준에서 작동합니다. 이 수준에서 Windows NT 4.0, Windows 2000 및 Windows Server 2003 제품군 모두 지원됩니다.
  • 새 로컬 그룹 (또는 도메인 글로벌 그룹)를 만들고 새로 만든 그룹에 도메인 로컬 그룹 참조를 변환할 Active Directory 마이그레이션 도구 버전 2 사용하십시오. SID 매핑 파일을 사용하여 보안 변환 기능을 사용하여 이를 수행할 수 있습니다. SID 매핑 파일 도메인 로컬 그룹의 SID 및 대체 그룹의 SID가 포함되어 있습니다. Active Directory 마이그레이션 도구를 검색하고 새 함께 이전 SID 바꿉니다 (또는 증가).
  • Microsoft Windows NT에서 Subinacl 도구를 사용하면 리소스 키트.

    자세한 내용은 다음 Microsoft 웹 사이트를 참고하시기 바랍니다:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en

현재 상태

이것은 의도적으로 설계된 동작입니다.

추가 정보

혼합된 모드에서 Windows 2000 Server 및 Windows 2000 Advanced Server를 사용할 때는 도메인 로컬 그룹은 경계를 현재 도메인의 도메인 컨트롤러가 있습니다. Windows NT 파일 시스템(NTFS) 사용 권한을 할당하거나, 예를 들어, 현재 도메인의 도메인 컨트롤러에서 공유 로컬 그룹은 경우에만 사용할 수 있습니다.

도메인 컨트롤러의 수준을 내릴 때 로컬 그룹의 SID를 액세스 제어 목록 남아 있으며 여전히 해당 이름을 확인할 수 있습니다. 그러나 수준 내리기 후 이러한 권한 부여는 위해 사용할 수 없습니다. 또한 도메인을 기본 모드로 전환할 때까지 파일 또는 공유 사용 권한을 추가할 수 없습니다.

도메인을 기본 모드로 전환하는 리소스에 비 도메인 컨트롤러에 대한 도메인 로컬 그룹을 추가할 그룹을 융통성을 제공합니다. Windows 2000의 경우 이 규칙은 내렸습니다 않은 Windows 2000 도메인 컨트롤러가 업그레이드된 왼쪽과 같은 구성원 서버를 업그레이드하는 동안 않은 Windows NT 4.0 도메인 컨트롤러에 적용됩니다. 도메인 로컬 그룹에 대한 것에 대해 Microsoft 기술 자료의 문서를 참조하십시오.
259392Windows 2000 도메인 작동 모드 도메인 로컬 그룹 범위

속성

기술 자료: 320230 - 마지막 검토: 2007년 3월 2일 금요일 - 수정: 5.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 서비스 팩 3
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
키워드:?
kbmt kbnetwork kbprb kbui KB320230 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com