오류: 제어권을 위임받은 관리자가 아닌 사용자가 컴퓨터를 도메인 컨트롤러에 조인하려고 하면 액세스가 거부됩니다.

  • 아티클

이 문서에서는 제어권을 위임받은 관리자가 아닌 사용자가 컴퓨터를 도메인 컨트롤러에 조인하려고 할 때 오류 메시지에 대한 솔루션을 제공합니다.

적용 대상: Windows Server 2012 R2
원래 KB 번호: 932455

증상

도메인 컨트롤러에서 관리자가 아닌 사용자는 다음 증상 중 하나 이상을 경험할 수 있습니다.

  • 위임 마법사를 통해 특정 사용자 또는 특정 그룹에 OU(조직 구성 단위)의 도메인에 컴퓨터 개체를 추가하거나 제거할 수 있는 권한이 제공된 후에는 일부 컴퓨터를 도메인에 추가할 수 없습니다. 사용자가 컴퓨터를 도메인에 가입하려고 하면 다음과 같은 오류 메시지가 표시될 수 있습니다.

    액세스가 거부되었습니다.

    참고

    관리자는 문제 없이 컴퓨터를 도메인에 가입할 수 있습니다.

  • 계정 운영자 그룹의 구성원이거나 제어권을 위임받은 사용자는 로컬로 로그인하거나 원격 데스크톱을 통해 도메인 컨트롤러에 로그인할 때 새 사용자 계정을 만들거나 암호를 재설정할 수 없습니다.

    사용자가 암호를 재설정하려고 하면 다음과 같은 오류 메시지가 표시될 수 있습니다.

    Windows에서 사용자 이름 에 대한 암호 변경을 완료할 수 없습니다. 액세스가 거부되었습니다.

    사용자가 새 사용자 계정을 만들려고 하면 다음과 같은 오류 메시지가 표시됩니다.

    권한 부족으로 인해 사용자 이름에 대한 암호를 설정할 수 없습니다. Windows는 이 계정을 사용하지 않도록 설정하려고 시도합니다. 이 시도가 실패하면 계정이 보안 위험이 됩니다. 가능한 한 빨리 관리자에게 문의하여 복구합니다. 이 사용자가 로그온하려면 먼저 암호를 설정하고 계정을 사용하도록 설정해야 합니다.

원인

다음 조건 중 하나 이상이 참인 경우 이러한 증상이 발생할 수 있습니다.

  • 사용자 또는 그룹에 컴퓨터 개체에 대한 암호 재설정 권한이 부여되지 않았습니다.

    참고

    지정한 사용자 또는 지정된 그룹에 컴퓨터 개체에 대한 암호 재설정 권한이 설정되어 있지 않으면 사용자 또는 그룹이 컴퓨터를 도메인에 가입할 수 없습니다. 사용자는 이 권한 없이 도메인에 대한 새 컴퓨터 계정을 만들 수 있습니다. 그러나 컴퓨터 계정이 이미 Active Directory에 있는 경우 기존 컴퓨터 개체의 컴퓨터 개체 속성을 다시 설정하려면 암호 재설정 권한이 필요하기 때문에 "액세스가 거부되었습니다." 오류 메시지가 표시됩니다.

  • 사용자가 계정 운영자 그룹의 제어권을 위임받았거나 계정 운영자 그룹의 구성원입니다. 이러한 사용자에게 "Active Directory 사용자 및 컴퓨터"의 기본 제공 OU에 대한 읽기 권한이 부여되지 않았습니다.

해결 방법

사용자가 컴퓨터를 도메인에 가입할 수 없는 문제를 resolve 하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 실행을 선택하고 dsa.msc를 입력한 다음 확인을 선택합니다.
  2. 작업 창에서 도메인 노드를 확장합니다.
  3. 수정할 OU 를 찾아 마우스 오른쪽 단추로 클릭한 다음 , 제어 위임을 선택합니다.
  4. 제어 위임 마법사에서 다음을 선택합니다.
  5. 추가를 선택하여 선택한 사용자 및 그룹 목록에 특정 사용자 또는 특정 그룹을 추가한 다음, 다음을 선택합니다.
  6. 위임할 작업 페이지에서 위임할 사용자 지정 작업 만들기를 선택한 다음, 다음을 선택합니다.
  7. 폴더에서 다음 개체만 선택한 다음 목록에서 를 클릭하여 컴퓨터 개체 검사 상자를 선택합니다. 그런 다음 목록 아래의 검사 상자, 이 폴더에서 선택한 개체 만들기 및 이 폴더에서선택한 개체 삭제를 선택합니다.
  8. 다음을 선택합니다.
  9. 사용 권한 목록에서 를 클릭하여 다음 검사 상자를 선택합니다.
    • 암호 재설정
    • 계정 제한 읽기 및 쓰기
    • DNS 호스트 이름에 대한 유효한 쓰기
    • 서비스 주체 이름에 대한 유효한 쓰기
  10. 다음을 선택한 다음 마침을 선택합니다.
  11. "Active Directory 사용자 및 컴퓨터" MMC 스냅인을 닫습니다.

사용자가 암호를 재설정할 수 없는 문제를 resolve 다음 단계를 수행합니다.

  1. 시작을 선택하고 실행을 선택하고 dsa.msc를 입력한 다음 확인을 선택합니다.

  2. 작업 창에서 도메인 노드를 확장합니다.

  3. 기본 제공을 찾아 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  4. 기본 제공 속성 대화 상자에서 보안 탭을 선택합니다.

  5. 그룹 또는 사용자 이름 목록에서 계정 연산자를 선택합니다.

  6. 계정 운영자에 대한 사용 권한에서 읽기 권한에 대한 검사 허용 상자를 클릭한 다음 확인을 선택합니다.

    참고

    계정 운영자 그룹이 아닌 그룹 또는 사용자를 사용하려면 해당 그룹 또는 해당 사용자에 대해 5단계와 6단계를 반복합니다.

  7. "Active Directory 사용자 및 컴퓨터" MMC 스냅인을 닫습니다.