관리자가 아닌 사용자가 Active Directory 삭제된 개체 컨테이너를 볼 수 있도록 하는 방법

  • 아티클

이 문서에서는 관리자가 아닌 사용자가 Active Directory 삭제된 개체 컨테이너를 볼 수 있도록 권한을 변경하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원래 KB 번호: 892806

요약

Active Directory 개체가 삭제되면 개체의 작은 부분이 지정된 시간 동안 삭제된 개체 컨테이너에 유지됩니다. 변경 내용을 복제하는 다른 도메인 컨트롤러가 삭제를 인식할 수 있도록 유지됩니다. 기본적으로 시스템 계정 및 관리자 그룹의 구성원만 이 컨테이너의 내용을 볼 수 있습니다. 이 문서에서는 삭제된 개체 컨테이너에 대한 권한을 수정하는 방법을 설명합니다.

다음 조건이 충족되면 삭제된 개체 컨테이너에 대한 권한을 수정해야 할 수 있습니다.

  • 비 시스템 계정 또는 관리자가 아닌 계정으로 Active Directory에 바인딩하는 엔터프라이즈 애플리케이션 또는 서비스가 있습니다.
  • 이러한 엔터프라이즈 애플리케이션 또는 서비스는 디렉터리 변경 내용을 폴링합니다.

추가 정보

관리자가 아닌 사용자가 이 컨테이너를 볼 수 있도록 삭제된 개체 컨테이너에 대한 권한을 수정하려면 DSACLS.exe 프로그램을 사용합니다. DSACLS.exe 프로그램은 ADAM(Active Directory 애플리케이션 모드) 관리 도구에 포함되어 있습니다.

Windows Server 2008 이상에서는 이 도구가 운영 체제에 포함되어 있습니다.

Windows 2000 및 Server 2003의 경우 ADAM 관리 도구를 가져오고 설치하여 이 작업을 수행할 수 있습니다. 다음 단계를 수행합니다.

  1. ADAM 소매 패키지를 다운로드합니다.

    Microsoft 지원 파일을 다운로드하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.
    119591 Microsoft에서 Microsoft 지원 파일을 가져오는 방법 온라인 서비스 Microsoft가 이 파일에서 바이러스를 검사했습니다. Microsoft는 파일이 게시된 날짜에 사용할 수 있는 최신 바이러스 감지 소프트웨어를 사용했습니다. 파일은 파일에 대한 무단 변경을 방지하는 데 도움이 되는 보안 강화 서버에 저장됩니다.

    참고

    이 버전의 ADAM 관리 도구는 Windows Server 2003 지원 도구의 버전에서 업그레이드된 것입니다. 이 버전의 ADAM 관리 도구는 Microsoft Windows Server 2003, Standard Edition에서 지원됩니다. Microsoft Windows Server 2003, Enterprise Edition; Microsoft Windows Server 2003, Datacenter Edition; 및 Microsoft Windows XP Professional.

  2. 1단계에서 다운로드한 파일의 내용을 추출하려면 파일을 두 번 클릭한 다음 메시지가 표시되면 디렉터리를 지정합니다.

  3. 2단계에서 파일을 추출한 디렉터리에서 프로그램을 두 번 클릭하여 Adamsetup.exe Active Directory 애플리케이션 모드 설정 마법사를 시작한 다음 다음을 클릭합니다.

  4. 사용권 조항을 검토하고 동의한 후 다음을 클릭합니다.

  5. ADAM 관리 도구만을 선택하고 다음을 클릭합니다.

  6. 선택 항목을 검토한 다음 다음을 클릭합니다.

  7. 설치가 완료되면 마침을 클릭합니다.

ADAM 관리 도구를 설치한 후 삭제된 개체 컨테이너에 대한 권한을 수정할 수 있습니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 도메인 관리자 그룹의 구성원인 사용자 계정으로 로그온합니다.

  2. 시작을 클릭하고 모든 프로그램을 가리키고 ADAM을 가리킨 다음 ADAM 도구 명령 프롬프트를 클릭합니다.

  3. 명령 프롬프트에서 dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership 예제와 유사한 명령을 입력합니다.

    • 이 명령을 입력할 때 도메인에 대해 삭제된 개체 컨테이너의 이름을 사용합니다.

    • 포리스트의 각 도메인에는 자체 삭제된 개체 컨테이너가 있습니다. 다음 예제와 유사한 출력을 표시해야 합니다.

      소유자: Contoso\Domain Admins
      그룹: NT AUTHORITY\SYSTEM
      액세스 목록:
      {이 개체는 부모로부터 권한을 상속하지 못하도록 보호됩니다}
      BUILTIN\Administrators SPECIAL ACCESS 허용
      콘텐츠 나열
      READ 속성
      NT AUTHORITY\SYSTEM SPECIAL ACCESS 허용
      삭제
      읽기 페르미슨
      쓰기 권한
      소유권 변경
      CREATE CHILD
      자식 삭제
      콘텐츠 나열
      WRITE SELF
      WRITE 속성
      READ 속성
      성공적으로 완료된 명령

  4. 삭제된 개체 컨테이너에서 개체를 볼 수 있는 보안 주체 권한을 부여하려면 dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /g CONTOSO\EricLang:LCRP 예제와 유사한 명령을 입력합니다.

    다음 예제와 유사한 출력을 표시해야 합니다.

    소유자: CONTOSO\Domain Admins
    그룹: NT AUTHORITY\SYSTEM
    액세스 목록:
    {이 개체는 부모로부터 권한을 상속하지 못하도록 보호됩니다}
    BUILTIN\Administrators SPECIAL ACCESS 허용
    콘텐츠 나열
    READ 속성
    NT AUTHORITY\SYSTEM SPECIAL ACCESS 허용
    삭제
    읽기 페르미슨
    쓰기 권한
    소유권 변경
    CREATE CHILD
    자식 삭제
    콘텐츠 나열
    WRITE SELF
    WRITE 속성
    READ 속성
    CONTOSO\EricLang SPECIAL ACCESS 허용
    콘텐츠 나열
    READ 속성
    성공적으로 완료된 명령

이 예제에서는 "CONTOSO\EricLang" 사용자에게 "CONTOSO" 도메인의 삭제된 개체 컨테이너에 대한 목록 콘텐츠 및 읽기 속성 권한이 부여되었습니다. 이러한 권한을 통해 이 사용자는 삭제된 개체 컨테이너의 내용을 볼 수 있지만 이 사용자가 컨테이너의 개체를 변경할 수는 없습니다. 이러한 권한은 Administrators 그룹에 부여된 기본 사용 권한과 동일합니다. 기본적으로 시스템 계정에만 삭제된 개체 컨테이너의 개체를 수정할 수 있는 권한이 있습니다.