위임된 사용 권한을 사용할 수 없으며 상속이 자동으로 해제된다

기술 자료 번역 기술 자료 번역
기술 자료: 817433 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

현상

Microsoft Windows Server 2003으로 업그레이드하면 다음과 같은 현상이 발생할 수 있습니다.
  • 조직 구성 단위의 모든 사용자가 위임된 사용 권한을 사용할 수 없습니다.
  • 한 시간에 한 번 정도씩 일부 사용자 계정에서 상속이 자동으로 사용할 수 없게 설정됩니다.
  • 이전에 사용 권한을 위임한 사용자가 더 이상 해당 사용 권한을 갖고 있지 않습니다.
이 문제는 Microsoft 기술 자료 문서 327825에서 설명하는 핫픽스를 Microsoft Windows 2000 Server에 적용한 후나 Windows 2000 서비스 팩 4를 Microsoft Windows 2000 Server에 설치한 후에도 발생할 수 있습니다. Windows 2000 327825 핫픽스에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
327825 사용자가 여러 그룹에 속해 있는 경우의 Kerberos 인증 문제에 대한 새로운 해결 방법

원인

제어 위임 마법사를 사용하여 사용 권한을 위임하는 경우 해당 사용 권한은 부모 컨테이너에서 사용 권한을 상속하는 사용자 개체에만 적용됩니다. 보호되는 그룹의 구성원은 부모 컨테이너에서 사용 권한을 상속하지 않습니다. 따라서 제어 위임 마법사를 사용하여 사용 권한을 설정하면 해당 사용 권한이 보호되는 그룹의 구성원에 적용되지 않습니다.

참고 보호되는 그룹의 그룹 등록은 하나 이상의 보안 또는 메일 그룹을 사용하는 직접 그룹 등록이나 전이적 그룹 등록으로 정의됩니다. 메일 그룹은 보안 그룹으로 변환될 수 있기 때문에 포함되어 있습니다.

Windows Server 2003에서 보호되는 그룹의 수는 Active Directory에서 보안을 강화하기 위해 늘어났습니다("추가 정보" 절 참조). Windows 2000에 327825 핫픽스를 적용하는 경우에도 보호되는 그룹의 수가 늘어납니다.

해결 방법

이 문제를 해결하려면 핫픽스를 설치하면 됩니다. 각 도메인에서 PDC(주 도메인 컨트롤러) 에뮬레이터 작업 마스터 역할을 하는 도메인 컨트롤러에 핫픽스를 설치해야 합니다. 또한 현재 PDC 에뮬레이터 작업 마스터 역할을 하는 도메인 컨트롤러가 사용할 수 없게 되면 이 역할을 대신하기 위해 사용하는 모든 도메인 컨트롤러에도 핫픽스를 설치해야 합니다. 이 역할을 대신하기 위해 어떤 도메인 컨트롤러를 사용할지 잘 모를 경우에는 모든 도메인 컨트롤러에 핫픽스를 설치하는 것이 좋습니다. 핫픽스가 없는 도메인 컨트롤러가 PDC 에뮬레이터 작업 마스터 역할을 맡으면 사용자의 사용 권한이 다시 설정됩니다.

Windows 2000 핫픽스 정보

현재 지원되는 핫픽스를 Microsoft에서 구할 수 있지만 이 문서에서 설명하는 문제를 해결하기 위한 것일 뿐이므로 이러한 특정 문제가 발생하는 시스템에만 이 핫픽스를 적용해야 합니다.

이 문제를 해결하려면 Microsoft 고객기술지원부에 문의하여 핫픽스를 구하십시오. Microsoft 고객기술지원부 전화 번호의 전체 목록과 지원 비용에 대한 정보를 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
기술지원 서비스 안내
참고?특정 업데이트로 문제를 해결할 수 있다고 Microsoft 기술지원 전문가가 판단할 경우 지원 요청에 따른 일반적 비용이 취소될 수도 있습니다. 해당 업데이트로 해결할 수 없는 추가 질문과 문제에 대해서는 지원 비용이 청구됩니다.

다시 시작 요구 사항

이 핫픽스를 적용한 후에는 컴퓨터를 다시 시작해야 합니다.

핫픽스 대체 정보

이 핫픽스는 다른 핫픽스를 대체하지 않습니다.

파일 정보

이 핫픽스의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 갖습니다. 이 파일의 날짜와 시간은 UTC(Coordinated Universal Time)로 나열되며 파일 정보를 볼 때 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 차이를 보려면 제어판날짜 및 시간 항목에서 표준 시간대 탭을 사용하십시오.
표 축소표 확대
날짜시간버전크기파일 이름
2004-03-2402:175.0.2195.6876388,368Advapi32.dll
2004-03-2402:175.0.2195.686669,904Browser.dll
2004-03-2402:175.0.2195.6824134,928Dnsapi.dll
2004-03-2402:175.0.2195.687692,432Dnsrslvr.dll
2004-03-2402:175.0.2195.688347,888Eventlog.dll
2004-03-2402:175.0.2195.6890143,632Kdcsvc.dll
2004-03-1102:375.0.2195.6903210,192Kerberos.dll
2003-09-2100:325.0.2195.682471,888Ksecdd.sys
2004-03-1102:375.0.2195.6902520,976Lsasrv.dll
2004-02-2523:595.0.2195.690233,552Lsass.exe
2003-06-1920:055.0.2195.6680117,520Msv1_0.dll
2004-03-2402:175.0.2195.6897312,592Netapi32.dll
2003-06-1920:055.0.2195.6695371,984Netlogon.dll
2004-08-1000:175.0.2195.6966933,648Ntdsa.dll
2004-03-2402:175.0.2195.6897388,368Samsrv.dll
2004-03-2402:175.0.2195.6893111,376Scecli.dll
2004-03-2402:175.0.2195.6903253,200Scesrv.dll
2004-06-0423:135.0.2195.69355,887,488Sp3res.dll
2004-03-2402:175.0.2195.682450,960W32time.dll
2003-09-2100:325.0.2195.682457,104W32tm.exe

Windows Server 2003 서비스 팩 정보

이 문제를 해결하려면 Windows Server 2003용 최신 서비스 팩을 구하십시오. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
889100 Windows Server 2003용 최신 서비스 팩을 구하는 방법

Windows Server 2003 핫픽스 정보

현재 지원되는 핫픽스를 Microsoft에서 구할 수 있지만 이 문서에서 설명하는 문제를 해결하기 위한 것일 뿐이므로 이러한 특정 문제가 발생하는 시스템에만 이 핫픽스를 적용하십시오. 이 핫픽스는 나중에 추가 테스트를 받아야 할 수도 있습니다. 따라서 이 문제의 영향이 심각하지 않으면 이 핫픽스가 포함된 다음 Windows Server 2003 서비스 팩이 나올 때까지 기다리는 것이 좋습니다.

이 문제를 해결하려면 Microsoft 온라인 고객 서비스에 요청을 제출하여 핫픽스를 구하십시오. 핫픽스를 구하기 위한 온라인 요청을 제출하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://go.microsoft.com/?linkid=6294451
참고 문제가 추가로 발생하거나 문제 해결이 필요한 경우 별도의 서비스 요청을 해야 할 수도 있습니다. 이 특정 핫픽스로 해결할 수 없는 추가 질문과 문제에 대해서는 지원 비용이 청구됩니다. 별도의 서비스 요청을 하려면 다음 Microsoft 웹 사이트를 방문하십시오.
기술지원 서비스 안내
이 핫픽스의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 갖습니다. 이 파일의 날짜와 시간은 UTC(Coordinated Universal Time)로 나열되며 파일 정보를 볼 때 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 차이를 보려면 제어판날짜 및 시간 항목에서 표준 시간대 탭을 사용하십시오.

다시 시작 요구 사항

이 핫픽스를 적용한 후에는 컴퓨터를 다시 시작해야 합니다.

핫픽스 대체 정보

이 핫픽스는 다른 핫픽스를 대체하지 않습니다.

파일 정보

Windows Server 2003 32-Bit Edition
표 축소표 확대
날짜시간버전크기파일 이름
2004-11-0201:265.2.3790.2291,532,416Ntdsa.dll
2004-11-0201:265.2.3790.21232,768Ntdsatq.dll
2004-09-1911:415.2.3790.21259,392Ws03res.dll
Windows Server 2003 64-Bit Edition
표 축소표 확대
날짜시간버전크기파일 이름플랫폼
2004-11-0201:215.2.3790.2294,057,088Ntdsa.dllIA-64
2004-11-0201:215.2.3790.21282,432Ntdsatq.dllIA-64
2004-09-1909:435.2.3790.21258,880Ws03res.dllIA-64
2004-09-1911:415.2.3790.21259,392Wws03res.dllx86
Windows 2000과 Windows Server 2003에서 핫픽스를 설치한 후 adminSDHolder로 보호되는 운영자 그룹을 제어하기 위해 포리스트 전체에 적용되는 dsHeuristic 플래그를 설정할 수 있습니다. 이와 같은 새 옵션을 사용하면 목록에 나와 있는 네 개의 보호되는 그룹 중 일부 또는 전부를 원래 Windows 2000 동작으로 되돌릴 수 있습니다. 문자 위치 16은 16진수 값으로 해석되며 가장 왼쪽의 문자가 위치 1입니다. 따라서 유효한 값은 "0"에서 "f"까지입니다. 각 운영자 그룹은 다음과 같은 특정 비트로 나타냅니다.
  • 비트 0: Account Operators
  • 비트 1: Server Operators
  • 비트 2: Print Operators
  • 비트 3: Backup Operators
예를 들어, 값 0001은 Account Operators 제외를 의미합니다. 이진수 합계 1100이 16진수 값 0xC를 나타내므로 값 'c'는 Print Operators(0100) 및 Backup Operators(1000)를 제외합니다.

새 기능을 사용하려면 구성 컨테이너에서 개체를 수정해야 합니다. 이 설정은 포리스트 전체에 적용됩니다. 개체를 수정하려면 다음과 같이 하십시오.
  1. 수정할 개체를 찾습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    326690 Windows Server 2003 도메인 컨트롤러에서 Active Directory에 대해 익명 LDAP 작업을 수행할 수 없다
  2. 명령 프롬프트에서 ldp.exe를 입력한 다음 Enter 키를 눌러 LDP 유틸리티를 시작합니다.
  3. Connection을 누르고 connect를 누른 다음 OK를 누릅니다.
  4. Connection을 누르고 Bind를 누른 다음 포리스트 루트 관리자의 사용자 이름과 암호를 입력하고 OK를 누릅니다.
  5. View를 누르고 Tree를 누른 다음 OK를 누릅니다.
  6. View\Tree를 사용하여 다음과 같은 구성 CN을 엽니다.
    CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Forest root domain
  7. Directory Service 개체를 찾아 두 번 누릅니다.
  8. 오른쪽의 개체 특성 목록을 검토하여 dsHeuristics 특성이 이미 설정되어 있는지 확인합니다. 설정되어 있으면 기존 값을 클립보드에 복사합니다.
  9. 왼쪽의 Directory Service 개체를 마우스 오른쪽 단추로 누르고 수정을 누릅니다.
  10. 특성 이름으로 dsHeuristics를 입력합니다.
  11. 값으로 000000000100000f를 입력합니다. dsHeuristics에 이미 값이 있으면 이 값으로 위에 있는 값의 처음 부분에 있는 0을 대체합니다. "f" 또는 설정할 비트까지의 자릿수가 올바른지 확인합니다.

    참고 올바른 문자를 수정하고 있는지 확인하기 위해 모든 10번째 문자가 그 지점까지의 문자 수를 10으로 나눈 수로 설정되어야 합니다. 예를 들어, 10번째 문자는 1, 20번째 문자는 2, 30번째 문자는 3 등으로 설정되어야 합니다.
  12. 특성이 이미 있으면 Operation 상자에서 Replace를 누르고 특성이 없으면 Add를 누릅니다.
  13. Operation 그룹의 오른쪽에서 Enter 키를 눌러 이 그룹을 LDAP 트랜잭션에 추가합니다.
  14. Run을 눌러 개체에 변경 사항을 적용합니다. 이 변경 사항이 포리스트의 PDC 에뮬레이터에 복제되고 나면 이 핫픽스를 실행하는 PDC 에뮬레이터는 비트가 설정된 운영자 그룹의 구성원인 사용자를 보호하지 않습니다.

해결 과정

이 문제를 해결하려면 다음 방법 중 하나를 수행하십시오.

방법 1: 구성원이 보호되는 그룹의 구성원이 아닌지 확인

조직 구성 단위 수준에서 위임되는 사용 권한을 사용하는 경우 위임된 사용 권한이 필요한 모든 사용자가 보호되는 그룹 중 하나의 구성원이 아닌지 확인해야 합니다. 이전에 보호되는 그룹의 구성원이었던 사용자는 보호되는 그룹에서 제거될 때 상속 플래그가 자동으로 다시 설정되지 않습니다. 보호되는 그룹의 구성원이 아닌지 확인하려면 아래의 스크립트를 사용하십시오.

참고 이 스크립트는 AdminCount가 1로 설정된 모든 사용자의 상속 플래그를 검사합니다. 상속을 사용할 수 없는 경우(SE_DACL_PROTECTED가 설정되어 있는 경우) 이 스크립트는 상속을 사용할 수 있게 설정합니다. 상속이 이미 사용할 수 있게 설정되어 있는 경우에는 설정이 유지됩니다. 또한 AdminCount가 0으로 다시 설정됩니다. adminSDHolder 스레드가 다시 실행되면 상속이 사용할 수 없게 설정되고 보호되는 그룹에 남아 있는 모든 사용자의 AdminCount가 1로 설정됩니다. 따라서 더 이상 보호되는 그룹의 구성원이 아닌 모든 사용자의 AdminCount 및 상속이 올바로 설정됩니다.

이 스크립트를 실행하려면 다음 명령을 사용하십시오.
cscript /nologo resetaccountsadminsdholder.vbs
Microsoft는 모든 보증(상품, 특정 목적에 대한 적합성 및 비침해에 대한 묵시적인 보증을 포함하며 이에 제한되지 않음)을 배제하며 예를 보여주기 위한 목적으로만 이 프로그래밍 예제를 제공합니다. 본 문서의 내용은 프로시저를 작성하고 디버깅하는 데 사용되는 도구 및 여기서 설명하는 프로그래밍 언어에 익숙한 사용자를 대상으로 합니다. Microsoft 지원 엔지니어는 사용자에게 도움이 되도록 특정 프로시저에 대한 기능을 설명할 수 있지만 사용자의 특정 요구 사항에 맞도록 예제를 수정하여 추가 기능을 제공하거나 프로시저를 구성하지는 않습니다.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If 

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If 

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If 

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If 
    
End Function
사용자에게 부정적인 영향을 미치지 않으려면 Ldifde.exe를 사용하여 AdminCount가 1로 설정된 사용자를 먼저 덤프하는 것이 좋습니다. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누르십시오.
ldifde -f Admincount-1.txt -d dc=your domain -r "(&(objectcategory=person)(objectclass=user)(admincount=1))"
출력 파일을 검토하여 DACL 보호 비트가 해제될 모든 사용자가 상속된 ACE(Access Controlled Entry)만 포함된 적절한 사용 권한을 갖게 되는지 확인하십시오. 이 방법은 주로 사용되는 방법이며 기존 보안을 약화시키지 않습니다.

방법 2: adminSDHolder 컨테이너에서 상속을 사용할 수 있게 설정

adminSDHolder 컨테이너에서 상속을 사용할 수 있게 설정하면 보호되는 그룹의 모든 구성원이 상속된 사용 권한을 사용할 수 있습니다. 이 방법을 사용하면 보안 기능 측면에서 adminSDHolder 컨테이너의 동작이 서비스 팩 4 이전 기능으로 되돌아갑니다.

adminSDHolder 컨테이너에서 상속을 사용할 수 있게 설정

adminSDHolder 컨테이너에서 상속을 사용할 수 있게 설정하면 두 가지 보호 ACL(액세스 제어 목록) 메커니즘 중 하나를 사용할 수 없게 되고 기본 사용 권한이 적용됩니다. 그러나 조직 구성 단위 수준에서 상속이 사용할 수 있게 설정되어 있으면 보호되는 그룹의 모든 구성원이 조직 구성 단위와 부모 조직 구성 단위에서 사용 권한을 상속합니다.

관리자에게 상속 보호 기능을 제공하려면 모든 관리자와 상속 보호가 필요한 다른 사용자를 해당 조직 구성 단위로 옮깁니다. 조직 구성 단위 수준에서 상속을 제거한 다음 adminSDHolder 컨테이너의 현재 ACL과 일치하도록 사용 권한을 설정합니다. adminSDHolder 컨테이너의 사용 권한이 다양할 수 있기 때문에(예를 들어, Microsoft Exchange Server에서 일부 사용 권한을 추가하거나 사용 권한이 수정되었을 수 있음) 보호되는 그룹의 구성원을 검토하여 adminSDHolder 컨테이너의 현재 사용 권한을 확인해야 합니다. UI(사용자 인터페이스)로는 adminSDHolder 컨테이너의 모든 사용 권한이 표시되지 않습니다. adminSDHolder 컨테이너의 모든 사용 권한을 보려면 DSacls를 사용하십시오.

ADSI 편집이나 Active Directory 사용자 및 컴퓨터를 사용하여 adminSDHolder 컨테이너에서 상속을 사용할 수 있게 설정할 수 있습니다. adminSDHolder 컨테이너의 경로는 CN=adminSDHolder,CN=System,DC=<MyDomain>,DC=<Com>입니다.

참고 Active Directory 사용자 및 컴퓨터를 사용하는 경우 보기 메뉴에서 고급 기능을 선택해야 합니다.

adminSDHolder 컨테이너에서 상속을 사용할 수 있게 설정하려면 다음과 같이 하십시오.
  1. 컨테이너를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  2. 보안 탭을 누릅니다.
  3. 고급을 누릅니다.
  4. 상속 가능한 권한을 부모 개체에서 이 개체 및 모든 자식 개체에 전파할 수 있음 확인란을 선택합니다.
  5. 확인을 누른 다음 닫기를 누릅니다.
다음에 SDProp 스레드가 실행될 때 상속 플래그가 보호되는 그룹의 모든 구성원에 대해 설정됩니다. 이 절차는 60분까지 걸릴 수 있습니다. 이 변경 사항이 PDC(주 도메인 컨트롤러)에서 복제될 때까지 기다려야 합니다.

방법 3: 상속을 방지하고 ACL만 변경

보호되는 그룹의 구성원인 사용자가 해당 사용자가 속해 있는 컨테이너에서 사용 권한을 상속하지 못하게 하고 사용자 개체에 대한 보안만 변경하려면 adminSDHolder 컨테이너 디렉터리에 대한 보안을 편집하면 됩니다. 이 경우 adminSDHolder 컨테이너에서 상속을 사용할 수 있게 설정할 필요가 없으며, 해당 그룹을 추가하거나 adminSDHolder 컨테이너에 대해 이미 정의되어 있는 보안 그룹의 보안을 편집하기만 하면 됩니다. 1시간 후에 SDProp 스레드가 adminSDHolder 컨테이너의 ACL에 대한 변경 사항을 보호되는 그룹의 모든 구성원에 적용합니다. 구성원은 자신이 속해 있는 컨테이너의 보안을 상속하지 않습니다.

예를 들어, Self 계정에는 Allow to Read All Properties 권한이 필요합니다. Self 계정에 이 권한을 허용하도록 adminSDHolder 컨테이너 보안 설정을 편집합니다. 1시간 후에 이 권한은 보호되는 그룹의 구성원인 모든 사용자의 Self 계정에 허용됩니다. 상속 플래그는 변경되지 않습니다.

다음 예제에서는 adminSDHolder 개체에만 변경 사항을 적용하는 방법을 보여 줍니다. 이 예제에서는 adminSDHolder 개체에 다음과 같은 권한을 부여합니다.
  • 내용 보기
  • 모든 속성 읽기
  • 모든 속성 쓰기
adminSDHolder 개체에 이러한 권한을 부여하려면 다음과 같이 하십시오.
  1. Active Directory 사용자 및 컴퓨터의 보기 메뉴에서 고급 기능을 누릅니다.
  2. adminSDHolder 개체를 찾습니다. 개체는 Active Directory 포리스트의 각 도메인에 대해 CN=adminSDHolder,CN=System,DC=domain,DC=com에 있습니다. 여기서 DC=domain,DC=com은 도메인의 DN(고유 이름)입니다.
  3. adminSDHolder를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 속성 대화 상자에서 보안 탭을 누른 다음 고급을 누릅니다.
  5. Access Control Settings for adminSDHolder 대화 상자의 사용 권한 탭에서 추가를 누릅니다.
  6. Select User, Computer, or Group 대화 상자에서 관련 권한을 부여할 계정을 누른 다음 확인을 누릅니다.
  7. adminSDHolder 권한 항목 대화 상자의 적용 대상 상자에서 이 개체만을 누른 다음 내용 보기, 모든 속성 읽기모든 속성 쓰기 권한을 누릅니다.
  8. 확인을 눌러 adminSDHolder 권한 항목 대화 상자, adminSDHolder에 대한 액세스 컨트롤 설정 대화 상자 및 adminSDHolder 속성 대화 상자를 닫습니다.
1시간 안에 보호되는 그룹과 관련된 사용자 개체에 대한 ACL이 업데이트되어 변경 사항이 반영됩니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
232199 Active Directory adminSDHolder 개체에 대한 설명 및 업데이트
318180 AdminSDHolder 스레드가 메일 그룹의 전이 구성원에 영향을 미친다

현재 상태

Microsoft는 "본 문서의 정보는 다음의 제품에 적용됩니다." 절에 나열한 제품에서 이 문제를 확인했습니다. 이 문제는 Windows Server 2003 서비스 팩 1에서 처음 해결되었습니다.

추가 정보

Active Directory에서는 중요한 그룹의 구성원에 대해 ACL이 올바르게 설정되도록 하기 위해 보호 메커니즘을 사용합니다. 이 메커니즘은 PDC 작업 마스터에서 한 시간에 한 번씩 실행됩니다. 작업 마스터는 보호되는 그룹의 구성원인 사용자 계정에 대한 ACL을 다음 개체에 대한 ACL과 비교합니다.
CN=adminSDHolder,CN=System,DC=<MyDomain>,DC=<Com>

참고 "DC=<MyDomain>,DC=<Com>"은 도메인의 DN(고유 이름)을 나타냅니다.

ACL이 다르면 사용자 개체에 대한 ACL이 adminSDHolder 개체의 보안 설정을 반영하기 위해 덮어쓰이고 ACL 상속이 사용할 수 없게 설정됩니다. 이러한 과정이 있기 때문에 보호되는 그룹의 구성원인 사용자 계정이 악의적인 사용자에게 사용자 계정을 수정할 관리 자격 증명이 위임된 컨테이너나 조직 구성 단위로 옮겨진 경우 권한이 없는 사용자가 해당 계정을 수정할 수 없습니다. 사용자가 관리 그룹에서 제거되는 경우에는 이러한 과정이 반대로 수행되지 않으므로 수동으로 변경해야 합니다.

참고 adminSDHolder 개체가 보안 설명자를 업데이트하는 빈도를 제어하려면 아래의 레지스트리 하위 키에서 AdminSDProtectFrequency 항목을 만들거나 수정하십시오.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
AdminSDProtectFrequency 레지스트리 항목이 없으면 adminSDHolder 개체가 60분(3600초)마다 보안 설명자를 업데이트합니다. 이 레지스트리 항목을 통해 초 단위 값을 입력하여 1분(60초)에서 2시간(7200초) 사이의 값으로 빈도를 설정할 수 있습니다. 그러나 짧은 테스트 기간을 제외하고는 이 값을 수정하지 않는 것이 좋습니다. 이 값을 수정하면 LSASS 처리 오버헤드가 늘어날 수 있습니다.

Windows 2000에서 보호되는 그룹의 목록은 다음과 같습니다.
  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Administrators

Windows Server 2003 및 Windows 2000에서 327825 핫픽스를 적용하거나 Windows 2000 서비스 팩 4를 설치한 후의 보호되는 그룹 목록은 다음과 같습니다.
  • Administrators
  • Account Operators
  • Server Operators
  • Print Operators
  • Backup Operators
  • Domain Admins
  • Schema Admins
  • Enterprise Admins
  • Cert Publishers
또한 다음과 같은 사용자도 보호되는 것으로 간주됩니다.
  • Administrator
  • Krbtgt
메일 그룹의 그룹 등록에서는 사용자 토큰을 채우지 않습니다. 따라서 "whoami"와 같은 도구를 사용하여 그룹 등록을 확인할 수 없습니다.

위임된 관리에 대한 자세한 내용을 보려면 Active Directory 관리를 위임하는 최상의 방법 백서를 다운로드하십시오. 이 문서를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en(영문)




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 817433 - 마지막 검토: 2007년 12월 3일 월요일 - 수정: 23.4
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 서비스 팩 3
  • Microsoft Windows 2000 서비스 팩 4
키워드:?
kbqfe kbwinserv2003sp1fix atdownload kbhotfixserver KB817433

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com