Windows Server 2008 기반 도메인 컨트롤러에 대해 LDAP 쿼리를 실행할 때 부분 특성 목록을 얻습니다.

기술 자료 번역 기술 자료 번역
기술 자료: 976063 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

현상

Windows Server 2008 기반 도메인 컨트롤러에 대해 경량 디렉터리 액세스 프로토콜 (LDAP) 요청을 실행할 때 부분 특성 목록을 얻을 수 있습니다. 그러나 Windows Server 2003 기반 도메인 컨트롤러에 대해 같은 LDAP 쿼리를 실행 하는 경우 응답의 전체 특성 목록을 얻을.

참고 이 쿼리는 도메인 컨트롤러 또는 Windows Vista 또는 Windows Server 2008을 실행 중인 클라이언트 컴퓨터에서 실행할 수 있습니다.

LDAP 쿼리를 실행 하는 데 사용할 사용자 계정에는 다음 속성이 있습니다.
  • 계정이 기본 제공 관리자 그룹의 구성원입니다.
  • 계정이 기본 제공 관리자 계정이 아닙니다.
  • 계정이 Domain Admins 그룹의 구성원입니다.
  • 관리자 그룹에 대 한 전체 제어 권한이 사용자 개체의 임의 액세스 제어 목록 (DACL)을 포함합니다.
  • 사용자가 전체 제어 권한이 표시에 대해 쿼리 하는 개체의 유효 사용 권한.

원인

관리 승인 모드 (AAM) 기능을 사용 하 여 Windows vista에서 및 Windows Server 2008의 사용자 계정 때문에이 문제가 발생 합니다. "사용자 계정 컨트롤" (UAC)이 라고도 합니다. 로컬 리소스 액세스에 대 한 보안 시스템에 대 한 LDAP 세션의 현재 액세스 토큰의 대화형 로그온 세션에서 사용 하 고 LDAP 쿼리 처리 하는 동안 액세스 검사 루프백 코드에 있습니다.

AAM 기능에 대 한 자세한 내용은 다음 Microsoft TechNet 웹 사이트를 방문 하십시오.
http://technet.microsoft.com/en-us/library/cc772207 (WS.10).aspx

해결 과정

이 문제를 해결 하려면 다음 방법 중 하나를 사용 합니다.

방법 1

  1. 사용 된 관리자 권한으로 실행 옵션 명령 프롬프트 창을 엽니다.
  2. 명령 프롬프트 창에서 LDAP 쿼리를 실행 합니다.

방법 2

지정 된 확인 안 함 다음 보안 설정에 대 한 값:
사용자 계정 컨트롤: 관리자 승인 모드에서 관리자의 상승 프롬프트 동작
이 보안 설정 값을 지정 하는 방법에 대 한 자세한 내용은 다음 Microsoft TechNet 웹 사이트를 방문 하십시오.
http://technet.microsoft.com/en-us/library/cc772207 (WS.10).aspx

방법 3

  1. 도메인에서 새 그룹을 만듭니다.
  2. Domain Admins 그룹에이 새 그룹에 추가 합니다.
  3. 이 새 그룹에 도메인 파티션의 읽기 권한을 부여 합니다. 이렇게 하려면 다음과이 같이 하십시오.
    1. 클릭 시작를 클릭 실행종류 adsiedit.msc을 누른 다음 확인.
    2. ADSI 편집 창에서 마우스 오른쪽 단추로 클릭 DC =<Name></Name>DC = com을 누른 다음 속성.
    3. 속성 창에서 클릭 하 여 보안 탭입니다.
    4. 보안 탭에서 클릭 추가.
    5. 아래 선택할 개체 이름을 입력 합니다.에 새 그룹의 이름을 입력 한 다음 확인.
    6. 그룹에서 선택 되어 있는지 확인 하십시오. 그룹 또는 사용자 이름를 클릭 하 여 선택 허용 읽기 권한 및 클릭에 대 한 확인.
    7. 닫기는 ADSI 편집 창입니다.
  4. LDAP 쿼리를 다시 실행 합니다.

현재 상태

이 동작은 의도 된 것입니다.

추가 정보

기본적으로 Windows vista에서 및 Windows Server 2008의 기본 제공 관리자 계정에 대 한 AAM 기능이 비활성화 됩니다. 또한, AAM 기능이 기본 제공 Administrators 그룹의 구성원이 다른 계정에 대해 사용할 수 있습니다.

이 확인 하려면 명령 프롬프트 창에서 다음 명령을 실행 합니다.
whoami /all
사용자 계정에 대 한 AAM 기능을 사용 하면 출력은 다음과 유사 합니다.
USER INFORMATION
----------------

User Name      SID                                           
============== ==============================================
MyDomain\MyUser S-1-5-21-2146773085-903363285-719344707-326360


GROUP INFORMATION
-----------------

Group Name                                    Type             SID                                               Attributes                                                     
============================================= ================ ================================================= ===============================================================
Everyone                                      Well-known group S-1-1-0                                           Mandatory group, Enabled by default, Enabled group             
BUILTIN\Administrators                        Alias            S-1-5-32-544                                      Group used for deny only
기본 제공 Administrators 그룹은 다음과 같은 특성이 있습니다.
Group used for deny only
"도메인 관리자" 그룹에 사용 가능한 그룹으로 표시 됩니다 "필수 그룹, 기본적으로, 그룹 사용"에서 whoami /all을 했지만 실제로 허용 Ace를 사용할 수 없습니다. 이 Windows Server 2008 r 2의 알려진된 문제입니다.

이 출력을 기반으로, LDAP 쿼리를 실행 하는 데 사용 되는 사용자 계정을 AAM 기능이 있습니다. LDAP 쿼리를 실행 하면 전체 액세스 토큰을 대신 필터링 된 액세스 토큰을 사용 합니다. 관리자 그룹에 대 한 전체 제어 권한이 사용자 개체에 부여 되는 경우에 하면 여전히 전체 제어 권한이 없습니다. 따라서, 부분 특성 목록을 얻습니다.

속성

기술 자료: 976063 - 마지막 검토: 2012년 7월 17일 화요일 - 수정: 1.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
키워드:?
kbsurveynew kbprb kbexpertiseadvanced kbtshoot kbmt KB976063 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
이 문서의 영문 버전 보기:976063

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com