액세스 권한 부족 오류 문제 해결

문제

사용자 대부분의 경우 Active Directory에 대한 인바운드 사용자 프로비전은 예상대로 작동합니다. 그러나 어떤 사용자에게는 프로비전 로그에 다음 오류가 표시됩니다.

ERROR: InsufficientAccessRights-SecErr: The user has insufficient access rights.. Access is denied. \nError Details: Problem 4003 - INSUFF_ACCESS_RIGHTS. 
OR

ERROR: 
"Message":"The user has insufficient access rights.",
"ResponseResultCode":"InsufficientAccessRights",
"ResponseErrorMessage":"00002098: SecErr: DSID-03150F94, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0",
The user has insufficient access rights.

프로비전 로그에 HybridSynchronizationActiveDirectoryInsufficientAccessRights 오류 코드가 표시됩니다.

원인

기본적으로 프로비전 에이전트 GMSA 계정 provAgentgMSA$에는 도메인의 모든 사용자 개체에 대한 읽기/쓰기 권한이 있습니다. 위의 오류를 유발할 수 있는 원인으로는 두 가지가 가능합니다.

• 원인 1: 사용자 개체가 도메인 수준 권한을 상속하지 않는 OU의 일부입니다.
• 원인 2: 사용자 개체가 보호 중인 Active Directory 그룹에 속합니다. 기본적으로 사용자 개체는 AdminSDHolder(이)라는 특수 컨테이너와 연결된 권한에 의해 제어됩니다. 이는 provAgentgMSA$ 계정이 보호 중인 Active Directory 그룹에 속하는 이 계정을 업데이트할 수 없는 이유를 설명합니다. 사용자 계정에 대한 provAgentgMSA$ 계정 쓰기 액세스를 재정의하고 명시적으로 제공하려고 할 수 있지만 작동하지 않습니다. 권한 있는 사용자 계정이 위임된 권한에 의해 오용되지 않도록 보호하기 위해 SDProp이라고 하는 백그라운드 프로세스가 있는데, 이 프로세스는 60분마다 실행되어 보호 중인 그룹에 속한 사용자가 항상 AdminSDHolder 컨테이너에 정의된 권한의 관리 하에 있도록 합니다. 도메인 관리 그룹에 provAgentgMSA$ 계정을 추가하는 방식도 작동하지 않습니다.

해상도

우선 문제의 원인을 확인합니다. 원인 1이 문제의 원인인지 확인하려면 다음을 수행합니다.

1. Active Directory 사용자 및 컴퓨터 관리 콘솔을 엽니다.
2. 사용자와 연결된 OU를 선택합니다.
3. 마우스 오른쪽 단추를 클릭하고 속성 -> 보안 -> 고급으로 이동합니다. 상속 사용 단추가 표시되면 원인 1이 문제의 원인임을 확인합니다.
4. 도메인 수준 권한이 이 OU에 적용되도록 상속 사용을 클릭합니다.

   참고 항목

   반드시 도메인 수준에서 영향을 받는 계정을 보유하는 OU까지 전체 계층 구조를 확인해야 합니다. 도메인 수준에서 적용된 사용 권한이 최종 개체까지 계단식으로 이동할 수 있도록 모든 부모 OU/컨테이너에 상속을 사용하도록 설정해야 합니다.

원인 1이 문제의 원인이 아닌 경우 원인 2가 문제의 잠재적 원인일 수 있습니다. 사용할 수 있는 두 가지 해결 옵션이 있습니다.

옵션 1: 보호된 AD 그룹에서 영향을 받는 사용자 제거 이 AdminSDHolder 권한이 적용되는 사용자 목록을 찾으려면 Cx에서 다음 명령을 호출할 수 있습니다.

Get-AdObject -filter {AdminCount -gt 0}

참조 문서:

• 다음은 AdminCount 플래그를 지우고 영향을 받은 사용자에 대한 상속을 사용하도록 재설정하는 데 사용할 수 있는 예제 PowerShell 스크립트입니다.
• 이 문서 - 분리된 계정 찾기에서 설명한 단계를 사용하여 분리된 계정(보호 중인 그룹에 속하지 않지만 AdminCount 플래그가 1로 설정된 계정)을 찾습니다.

옵션 1이 항상 작동하지 않을 수 있습니다.

PDC 에뮬레이터 FSMO 역할이 있는 도메인 컨트롤러에서 매시간 실행되는 SDPROP(보안 설명자 전파) 프로세스라는 프로세스가 있습니다. AdminCount 특성을 1로 설정하는 프로세스입니다. SDPROP의 기본 기능은 권한이 높은 Active Directory 계정을 보호하여 권한이 적은 사용자 또는 프로세스에서 의도적이든 아니든 삭제하거나 권한을 수정할 수 없도록 하는 것입니다. PDC 에뮬레이터 FSMO 역할이 있는 도메인 컨트롤러에서 매시간 실행되는 SDPROP(보안 설명자 전파) 프로세스라는 프로세스가 있습니다. AdminCount 특성을 1로 설정하는 프로세스입니다. SDPROP의 주요 기능은 높은 권한의 Active Directory 계정을 보호하는 것입니다. SDPROP 프로세스를 사용하면 권한이 적은 사용자 또는 프로세스에서 실수로 또는 의도적으로 계정을 삭제하거나 권한을 가질 수 없습니다.

이유를 자세히 설명하는 참조 문서:

• AdminHolder와 SDProp에 대해 가장 많이 하는 5가지 질문
• AdminSD Holder 개체 파악하기

옵션 2: AdminSDHolder 컨테이너의 기본 권한 수정

옵션 1을 사용할 수 없는 상황이거나 예상대로 작동하지 않는 경우, AdminSDHolder 컨테이너의 기본 권한을 수정할 수 있다면 Cx에 AD 관리자 및 보안 관리자를 확인 요청합니다. AdminSDHolder 컨테이너의 중요성을 설명하는 문서. Cx가 AdminSDHolder 컨테이너 권한 업데이트를 위한 내부 승인을 받은 상태에서는 두 가지 방법을 통해 권한을 업데이트할 수 있습니다.

• ADSIEdit를 이 문서의 설명대로 사용하기.
• DSACLS 명령줄 스크립트 사용하기. 다음은 시작점으로 사용할 수 있는 예제 스크립트이며 Cx는 요구 사항에 따라 이것을 조정할 수 있습니다.

$dcFQDN = "<FQDN Of The Nearest RWDC Of Domain>"
$domainDN = "<Domain Distinguished Name>"
$domainNBT = "<Domain NetBIOS Name>"
$dsaclsCMD = "DSACLS '\\$dcFQDN\CN=AdminSDHolder,CN=System,$domainDN' /G '$domainNBT\provAgentgMSA$:RPWP;<Attribute To Write To>'"
Invoke-
Expression $dsaclsCMD | Out-Null

Cx가 온-프레미스 AD 권한 문제 해결을 하는 데에 도움이 더 필요한 경우 Windows Server 지원 팀에 문의하세요. Microsoft Entra Connect의 AdminSDHolder 문제에 대한 이 문서에는 DSACLS 사용에 대한 많은 예가 있습니다.

옵션 3: provAgentgMSA 계정에 모든 제어 권한을 할당

provAgentGMSA 계정에 모든 제어 권한을 할당합니다. 사용자 개체가 보호된 사용자 그룹에 속하지 않을 때 한 컨테이너 OU에서 다른 컨테이너로 사용자 개체를 이동하는 데 문제가 있는 경우 이 단계를 수행하는 것이 좋습니다.

이 시나리오에서는 Cx에 다음 단계를 완료하고 이동 작업을 다시 테스트하도록 요청합니다.

1. 관리자 권한으로 AD 도메인 컨트롤러에 로그인합니다.
2. run 관리자 권한으로 PowerShell 명령줄을 엽니다.
3. PowerShell 프롬프트에서 프로비전 에이전트 GMSA 계정에 일반 전체/모든 권한을 부여하는 다음 DSACLS 명령을 실행합니다. dsacls "dc=contoso,dc=com" /I:T /G "CN=provAgentgMSA,CN=Managed Service Accounts,DC=contoso,DC=com:GA"

dc=contoso,dc=com을 루트 노드 또는 적절한 OU 컨테이너로 바꿉니다. 사용자 지정 GMSA를 사용하는 경우 provAgentgMSA에 대한 DN 값을 업데이트합니다.

옵션 4: GMSA 계정을 건너뛰고 수동으로 만든 서비스 계정 사용 이 옵션은 GMSA 권한 문제를 조사해 해결할 때까지 차단을 해제하는 임시 해결 방법으로만 사용해야 합니다. GMSA 계정을 사용하는 것이 좋습니다. 레지스트리 옵션을 설정하여 GMSA 구성을 건너뛰고 올바른 권한을 사용하여 수동으로 만든 서비스 계정을 사용하도록 Microsoft Entra Connect 프로비전 에이전트를 다시 구성할 수 있습니다.

다음 단계

• 인바운드 프로비전 API에 대해 자세히 알아보기