도메인 컨트롤러에 대해 LDAP 쿼리를 실행하는 경우 부분 특성 목록을 가져옵니다.

  • 아티클

이 문서에서는 도메인 컨트롤러에 대해 LDAP 쿼리를 실행할 때 부분 특성 목록을 가져올 때 문제에 대한 해결 방법을 제공합니다.

적용 대상: Windows Server 2012 R2
원래 KB 번호: 976063

증상

Windows Server 2008 기반 도메인 컨트롤러에 대해 LDAP(Lightweight Directory Access Protocol) 요청을 실행하는 경우 부분 특성 목록을 가져옵니다. 그러나 Windows Server 2003 기반 도메인 컨트롤러에 대해 동일한 LDAP 쿼리를 실행하는 경우 응답에서 전체 특성 목록을 가져옵니다.

참고

이 쿼리는 도메인 컨트롤러 또는 Windows Vista 또는 Windows Server 2008을 실행하는 클라이언트 컴퓨터에서 실행할 수 있습니다.

LDAP 쿼리를 실행하는 데 사용하는 사용자 계정에는 다음과 같은 속성이 있습니다.

  • 계정은 기본 제공 Administrators 그룹의 구성원입니다.
  • 계정이 기본 제공 관리자 계정이 아닙니다.
  • 계정은 도메인 관리자 그룹의 구성원입니다.
  • 사용자 개체의 DACL(임의 액세스 제어 목록)에는 관리자 그룹에 대한 모든 권한이 포함됩니다.
  • 쿼리하는 개체의 유효 권한은 사용자에게 모든 권한이 있음을 보여 줍니다.

원인

이 문제는 Windows Vista 및 Windows Server 2008의 사용자 계정에 대해 AAM(관리 승인 모드) 기능을 사용하도록 설정했기 때문에 발생합니다. "UAC(사용자 계정 컨트롤)"라고도 합니다. 로컬 리소스 액세스의 경우 보안 시스템에는 루프백 코드가 있으므로 LDAP 세션에 대한 대화형 로그온 세션의 활성 액세스 토큰과 LDAP 쿼리 처리 중에 액세스 검사를 사용합니다.

AAM 기능에 대한 자세한 내용은 다음 Microsoft TechNet 웹 사이트를 참조하세요. https://technet.microsoft.com/library/cc772207(WS.10).aspx

해결 방법

이 문제를 해결하려면 다음 방법 중 하나를 사용하십시오.

방법 1

  1. 관리자 권한으로 실행 옵션을 사용하여 명령 프롬프트 창을 엽니다.
  2. 명령 프롬프트 창에서 LDAP 쿼리를 실행합니다.

방법 2

다음 보안 설정에 대한 프롬프트 없음 값을 지정합니다.
사용자 계정 컨트롤: 관리 승인 모드의 관리자 권한 상승 프롬프트 동작
이 보안 설정의 값을 지정하는 방법에 대한 자세한 내용은 다음 Microsoft TechNet 웹 사이트를 참조하세요. https://technet.microsoft.com/library/cc772207(WS.10).aspx

방법 3

  1. 도메인에 새 그룹을 만듭니다.
  2. 이 새 그룹에 도메인 관리자 그룹을 추가합니다.
  3. 이 새 그룹에 도메인 파티션에 대한 읽기 권한을 부여합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 시작을 클릭하고 실행을 클릭하고 adsiedit.msc를 입력한 다음 확인을 클릭합니다.
    2. ADSI 편집 창에서 DC=Name,DC>=<com을 마우스 오른쪽 단추 클릭한 다음 속성을 클릭합니다.
    3. 속성 창에서 보안 탭을 클릭합니다.
    4. 보안 탭에서 추가를 클릭합니다.
    5. 선택할 개체 이름 입력에서 새 그룹의 이름을 입력한 다음 확인을 클릭합니다.
    6. 그룹 또는 사용자 이름 아래에서 그룹이 선택되어 있는지 확인하고 읽기 권한에 대해 허용을 클릭하여 선택한 다음 확인을 클릭합니다.
    7. ADSI 편집 창을 닫습니다.
  4. LDAP 쿼리를 다시 실행합니다.

상태

이것은 의도적으로 설계된 동작입니다.

추가 정보

기본적으로 AAM 기능은 Windows Vista 및 Windows Server 2008의 기본 제공 관리자 계정에 대해 사용하지 않도록 설정됩니다. 또한 AAM 기능은 기본 제공 관리자 그룹의 구성원인 다른 계정에 대해 사용하도록 설정됩니다.

이를 확인하려면 명령 프롬프트 창에서 다음 명령을 실행합니다.

whoami /all

사용자 계정에 대해 AAM 기능을 사용하도록 설정한 경우 출력은 다음과 유사합니다.

USER INFORMATION
----------------

User Name SID 
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360

GROUP INFORMATION
-----------------

Group Name Type SID Attributes 
============================================= ================ ================================================= ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group 
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only

기본 제공 Administrators 그룹에는 다음과 같은 특성이 있습니다.

Group used for deny only

"Domain Admins" 그룹은 whoami /all에서 "필수 그룹, 기본적으로 사용하도록 설정됨, 사용 그룹"이 있는 사용 가능한 그룹으로 표시되지만 실제로는 허용 ACE에 대해 사용하지 않도록 설정됩니다. 이는 Windows Server 2008 R2 및 Windows Server 2012 알려진 문제입니다.

이 출력에 따라 LDAP 쿼리를 실행하는 데 사용한 사용자 계정에는 AAM 기능이 활성화되어 있습니다. LDAP 쿼리를 실행하는 경우 전체 액세스 토큰 대신 필터링된 액세스 토큰을 사용합니다. Administrators 그룹에 대한 모든 권한 권한이 사용자 개체에 부여되더라도 여전히 모든 권한이 없습니다. 따라서 부분 특성 목록만 가져옵니다.