비밀번호 쓰기 저장 액세스 권한 및 권한 문제 해결
이 문서에서는 Active Directory의 도메인 루트, 사용자 개체 및 Builtin 컨테이너에 필요한 액세스 권한 및 권한을 설명합니다. 또한 다음 항목에 대해서도 설명합니다.
- 필수 도메인 그룹 정책
- Microsoft Entra Connect에서 사용하는 AD DS(Active Directory 도메인 Services) 커넥터 계정을 식별하는 방법
- 해당 계정에 대한 기존 사용 권한을 확인하는 방법
- 복제 문제를 방지하는 방법
이 정보는 비밀번호 쓰기 저장과 관련된 특정 문제를 해결하는 데 도움이 될 수 있습니다.
AD DS 커넥터 계정 식별
비밀번호 쓰기 저장 권한을 확인하기 전에 Microsoft Entra Connect에서 현재 AD DS 커넥터 계정(MSOL_ 계정이라고도 함)을 확인합니다. 이 계정을 확인하면 비밀번호 쓰기 저장 문제 해결 중에 잘못된 단계를 수행하지 않아도 됩니다.
AD DS 커넥터 계정을 식별하려면 다음을 수행합니다.
동기화 서비스 관리자를 엽니다. 이렇게 하려면 시작을 선택하고, Microsoft Entra Connect를 입력하고, 검색 결과에서 Microsoft Entra Connect를 선택한 다음, 동기화 서비스를 선택합니다.
커넥터 탭을 선택한 다음 해당 Active Directory 커넥터를 선택합니다. 작업 창에서 속성을 선택하여 속성 대화 상자를 엽니다.
속성 창의 왼쪽 창에서 Active Directory 포리스트에 연결을 선택한 다음 사용자 이름으로 표시되는 계정 이름을 복사합니다.
AD DS 커넥터 계정의 기존 사용 권한 확인
비밀번호 쓰기 저장 에 대한 올바른 Active Directory 권한을 설정하려면 기본 제공 ADSyncConfig PowerShell 모듈을 사용합니다. ADSyncConfig 모듈에는 Set-ADSyncPasswordWritebackPermissions cmdlet을 사용하여 비밀번호 쓰기 저장에 대한 권한을 설정하는 메서드가 포함되어 있습니다.
AD DS 커넥터 계정(즉, MSOL_ 계정)에 특정 사용자에 대한 올바른 권한이 있는지 확인하려면 다음 도구 중 하나를 사용합니다.
- MMC(Microsoft Management Console)에서 스냅인 Active Directory 사용자 및 컴퓨터
- 명령 프롬프트
- PowerShell
Active Directory 사용자 및 컴퓨터 스냅인
MMC 스냅인을 사용하여 Active Directory 사용자 및 컴퓨터. 다음 단계를 수행합니다.
시작을 선택하고 dsa.msc를 입력한 다음 검색 결과에서 Active Directory 사용자 및 컴퓨터 스냅인을 선택합니다.
고급 기능 보기를>선택합니다.
콘솔 트리에서 사용 권한을 확인할 사용자 계정을 찾아 선택합니다. 그런 다음 속성 아이콘을 선택합니다.
계정의 속성 대화 상자에서 보안 탭을 선택한 다음 고급 단추를 선택합니다.
계정에 대한 고급 보안 설정 대화 상자에서 유효 사용 권한 탭을 선택합니다. 그런 다음 그룹 또는 사용자 이름 섹션에서 선택 단추를 선택합니다.
사용자, 컴퓨터 또는 그룹 선택 대화 상자에서 [지금> 고급 찾기]를 선택하여 선택 목록을 표시합니다. 검색 결과 상자에서 MSOL_ 계정 이름을 선택합니다.
확인을 두 번 선택하여 고급 보안 설정 대화 상자의 유효 사용 권한 탭으로 돌아갑니다. 이제 사용자 계정에 할당된 MSOL_ 계정에 대한 유효 사용 권한 목록을 볼 수 있습니다. 비밀번호 쓰기 저장에 필요한 기본 사용 권한 목록은 이 문서의 사용자 개체 섹션에 대한 필수 사용 권한에 나와 있습니다.
명령 프롬프트
dsacls 명령을 사용하여 AD DS 커넥터 계정의 액세스 제어 목록(ACL 또는 권한)을 표시합니다. 다음 명령은 명령 출력을 텍스트 파일에 저장하지만 콘솔에 출력을 표시하도록 수정할 수 있습니다.
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
이 메서드를 사용하여 Active Directory 개체에 대한 사용 권한을 분석할 수 있습니다. 그러나 텍스트 출력이 정렬되지 않으므로 개체 간의 사용 권한을 비교하는 것은 유용하지 않습니다.
PowerShell
Get-Acl cmdlet을 사용하여 AD DS 커넥터 계정 권한을 가져오고 다음과 같이 Export-Clixml cmdlet을 사용하여 출력을 XML 파일로 저장합니다.
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
PowerShell 메서드는 오프라인 분석에 유용합니다. Import-Clixml cmdlet을 사용하여 파일을 가져올 수 있습니다. 또한 ACL의 원래 구조와 해당 속성을 유지합니다. 이 메서드를 사용하여 Active Directory 개체에 대한 사용 권한을 분석할 수 있습니다.
사용 권한 수정 시 복제 문제 방지
Active Directory 권한을 수정하면 Active Directory에 대한 변경 내용이 즉시 적용되지 않을 수 있습니다. Active Directory 권한은 Active Directory 개체와 동일한 방식으로 포리스트 전체에서 복제될 수도 있습니다. Active Directory 복제 문제 또는 지연을 완화하려면 어떻게 해야 할까요? Microsoft Entra Connect에서 기본 설정 도메인 컨트롤러를 설정하고 변경 내용에 대해 해당 도메인 컨트롤러에서만 작업합니다. Active Directory 사용자 및 컴퓨터 스냅인을 사용하는 경우 콘솔 트리에서 도메인 루트를 마우스 오른쪽 단추로 클릭하고 도메인 컨트롤러 변경 메뉴 항목을 선택한 다음 동일한 기본 설정 도메인 컨트롤러를 선택합니다.
Active Directory 내에서 빠른 온전성을 확인하려면 dcdiag 명령을 사용하여 도메인 컨트롤러 진단을 실행합니다. 그런 다음 repadmin /replsummary 명령을 실행하여 복제 문제의 요약을 확인합니다. 다음 명령은 명령 출력을 텍스트 파일에 저장하지만 콘솔에 출력을 표시하도록 수정할 수 있습니다.
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Active Directory 도메인 루트에 대한 필수 권한
이 섹션에서는 Active Directory 도메인 루트에 대한 비밀번호 쓰기 저장에 필요한 Active Directory 권한에 대해 설명합니다. 이 루트를 Active Directory 포리스트의 루트와 혼동하지 마세요. 포리스트에는 여러 Active Directory 도메인이 있을 수 있습니다. 각 도메인에는 해당 도메인의 사용자에 대해 비밀번호 쓰기 저장이 작동할 수 있도록 자체 루트에 올바른 사용 권한이 설정되어 있어야 합니다.
도메인 루트의 보안 속성에서 기존 Active Directory 권한을 볼 수 있습니다. 다음 단계를 수행합니다.
Active Directory 사용자 및 컴퓨터 스냅인을 엽니다.
콘솔 트리에서 Active Directory 도메인 루트를 찾아 선택한 다음 속성 아이콘을 선택합니다.
계정에 대한 속성 대화 상자에서 보안 탭을 선택합니다.
다음 하위 섹션 각각에는 도메인 루트 기본 사용 권한 테이블이 포함되어 있습니다. 이 표에서는 하위 섹션 제목에 있는 그룹 또는 사용자 이름에 필요한 사용 권한 항목을 보여 줍니다. 각 그룹 또는 사용자 이름에 대한 요구 사항과 일치하도록 현재 권한 항목을 보고 수정하려면 각 하위 섹션에 대해 다음 단계를 수행합니다.
보안 탭에서 고급 단추를 선택하여 고급 보안 설정 대화 상자를 봅니다. 사용 권한 탭에는 각 Active Directory ID(보안 주체)에 대한 도메인 루트 권한의 현재 목록이 표시됩니다.
현재 사용 권한 목록을 각 Active Directory ID(보안 주체)의 기본 사용 권한 목록과 비교합니다.
필요한 경우 추가를 선택하여 현재 목록에서 누락된 필수 사용 권한 항목을 추가합니다. 또는 사용 권한 항목을 선택한 다음 편집을 선택하여 요구 사항에 맞게 해당 항목을 수정합니다. 현재 권한 항목이 하위 섹션 테이블과 일치할 때까지 이 단계를 반복합니다.
고급 보안 설정 대화 상자에서 변경 내용을 적용하려면 [확인]을 선택하고 [속성] 대화 상자로 돌아갑니다.
참고 항목
Active Directory 도메인 루트에 대한 사용 권한은 부모 컨테이너에서 상속되지 않습니다.
AD DS 커넥터 계정에 대한 루트 기본 권한(허용)
| Permission | 적용 대상 |
|---|---|
| 암호 재설정 | 하위 사용자 개체 |
| (비어 있음) | Descendant msDS-Device 개체 |
| 디렉터리 변경 내용 복제 | 이 개체만 |
| 모든 디렉터리 변경 내용 복제 | 이 개체만 |
| 모든 속성 읽기 | Descendant publicFolder 개체 |
| 모든 속성 읽기/쓰기 | 하위 InetOrgPerson 개체 |
| 모든 속성 읽기/쓰기 | 하위 Group 개체 |
| 모든 속성 읽기/쓰기 | 하위 사용자 개체 |
| 모든 속성 읽기/쓰기 | 하위 Contact 개체 |
인증된 사용자에 대한 루트 기본 권한(허용)
| Permission | 적용 대상 |
|---|---|
| 사용자별로 역방향으로 암호화된 암호 사용 | 이 개체만 |
| Unexpire password | 이 개체만 |
| 암호 업데이트가 필요하지 않음 비트 | 이 개체만 |
| 특별 권한 | 이 개체만 |
| (비어 있음) | 이 개체 및 모든 하위 개체 |
모든 사용자에 대한 루트 기본 권한(거부 + 허용)
| Type | Permission | 적용 대상 |
|---|---|---|
| 거부 | 모든 자식 개체 삭제 | 이 개체만 |
| 허용 | 모든 속성 읽기 | 이 개체만 |
Windows 2000 이전 호환 액세스에 대한 루트 기본 권한(허용)
| Permission | 적용 대상 |
|---|---|
| 특별 권한 | 하위 InetOrgPerson 개체 |
| 특별 권한 | 하위 Group 개체 |
| 특별 권한 | 하위 User 개체 |
| 특별 권한 | 이 개체만 |
| 콘텐츠 나열 | 이 개체 및 모든 하위 개체 |
SELF에 대한 루트 기본 권한(허용)
| Permission | 적용 대상 |
|---|---|
| (비어 있음) | 이 개체 및 모든 하위 개체 |
| 특별 권한 | 모든 하위 개체 |
| 컴퓨터 특성에 대한 유효성이 검사된 쓰기 | 하위 Computer 개체 |
| (비어 있음) | 하위 Computer 개체 |
사용자 개체에 대한 필수 권한
이 섹션에서는 암호를 업데이트해야 하는 대상 사용자 개체에 대한 비밀번호 쓰기 저장에 필요한 Active Directory 권한에 대해 설명합니다. 기존 보안 권한을 보려면 다음 단계에 따라 사용자 개체의 보안 속성을 표시합니다.
Active Directory 사용자 및 컴퓨터 스냅인으로 돌아갑니다.
콘솔 트리 또는 작업>찾기 메뉴 항목을 사용하여 대상 사용자 개체를 선택한 다음 속성 아이콘을 선택합니다.
계정에 대한 속성 대화 상자에서 보안 탭을 선택합니다.
다음 하위 섹션 각각에는 사용자 기본 권한 테이블이 포함되어 있습니다. 이 표에서는 하위 섹션 제목에 있는 그룹 또는 사용자 이름에 필요한 사용 권한 항목을 보여 줍니다. 각 그룹 또는 사용자 이름에 대한 요구 사항과 일치하도록 현재 권한 항목을 보고 수정하려면 각 하위 섹션에 대해 다음 단계를 수행합니다.
보안 탭에서 고급 단추를 선택하여 고급 보안 설정 대화 상자를 봅니다.
상속 사용 안 함 단추가 대화 상자 아래쪽 근처에 표시되는지 확인합니다. 상속 사용 단추가 대신 표시되면 해당 단추를 선택합니다. 상속 사용 기능을 사용하면 부모 컨테이너 및 조직 단위의 모든 사용 권한을 이 개체에 상속할 수 있습니다. 이 변경으로 문제가 해결됩니다.
사용 권한 탭에서 현재 사용 권한 목록을 각 Active Directory ID(보안 주체)의 기본 사용 권한 목록과 비교합니다. 사용 권한 탭에는 각 Active Directory ID(보안 주체)에 대한 사용자 권한의 현재 목록이 표시됩니다.
필요한 경우 추가를 선택하여 현재 목록에서 누락된 필수 사용 권한 항목을 추가합니다. 또는 사용 권한 항목을 선택한 다음 편집을 선택하여 요구 사항에 맞게 해당 항목을 수정합니다. 현재 권한 항목이 하위 섹션 테이블과 일치할 때까지 이 단계를 반복합니다.
고급 보안 설정 대화 상자에서 변경 내용을 적용하려면 [확인]을 선택하고 [속성] 대화 상자로 돌아갑니다.
참고 항목
Active Directory 도메인 루트와 달리 사용자 개체에 필요한 권한은 일반적으로 도메인 루트 또는 부모 컨테이너 또는 조직 구성 단위에서 상속됩니다. 개체에 직접 설정된 사용 권한은 None의 상속을 나타냅니다. ACE(액세스 제어 항목)의 상속은 사용 권한의 열에 대한 형식, 보안 주체, 액세스 및 적용 값이 동일하기 만 하다면 중요하지 않습니다. 그러나 특정 권한은 도메인 루트에서만 설정할 수 있습니다. 이러한 엔터티는 하위 섹션 테이블에 나열됩니다.
AD DS 커넥터 계정에 대한 사용자 기본 권한(허용)
| Permission | 다음에서 상속됨 | 적용 대상 |
|---|---|---|
| 암호 재설정 | <도메인 루트> | 하위 User 개체 |
| (비어 있음) | <도메인 루트> | Descendant msDS-Device 개체 |
| 모든 속성 읽기 | <도메인 루트> | Descendant publicFolder 개체 |
| 모든 속성 읽기/쓰기 | <도메인 루트> | 하위 InetOrgPerson 개체 |
| 모든 속성 읽기/쓰기 | <도메인 루트> | 하위 Group 개체 |
| 모든 속성 읽기/쓰기 | <도메인 루트> | 하위 User 개체 |
| 모든 속성 읽기/쓰기 | <도메인 루트> | 하위 Contact 개체 |
인증된 사용자에 대한 사용자 기본 권한(허용)
| Permission | 다음에서 상속됨 | 적용 대상 |
|---|---|---|
| 일반 정보 읽기 | None | 이 개체만 |
| 공개 정보 읽기 | None | 이 개체만 |
| 개인 정보 읽기 | None | 이 개체만 |
| 웹 정보 읽기 | None | 이 개체만 |
| 읽기 권한 | None | 이 개체만 |
| Exchange 정보 읽기 | <도메인 루트> | 이 개체 및 모든 하위 개체 |
모든 사용자에 대한 사용자 기본 권한(허용)
| Permission | 다음에서 상속됨 | 적용 대상 |
|---|---|---|
| 암호 변경 | None | 이 개체만 |
Windows 2000 이전 호환 액세스에 대한 사용자 기본 권한(허용)
이 표의 특수 권한에는 목록 내용, 모든 속성 읽기 및 읽기 권한 권한이 포함됩니다.
| Permission | 다음에서 상속됨 | 적용 대상 |
|---|---|---|
| 특별 권한 | <도메인 루트> | 하위 InetOrgPerson 개체 |
| 특별 권한 | <도메인 루트> | 하위 Group 개체 |
| 특별 권한 | <도메인 루트> | 하위 User 개체 |
| 콘텐츠 나열 | <도메인 루트> | 이 개체 및 모든 하위 개체 |
SELF에 대한 사용자 기본 권한(허용)
이 테이블의 특수 권한에는 읽기/쓰기 개인 정보 권한만 포함 됩니다.
| Permission | 다음에서 상속됨 | 적용 대상 |
|---|---|---|
| 암호 변경 | None | 이 개체만 |
| 다음으로 보내기 | None | 이 개체만 |
| 다음으로 받기 | None | 이 개체만 |
| 개인 정보 읽기/쓰기 | None | 이 개체만 |
| 전화 및 메일 옵션 읽기/쓰기 | None | 이 개체만 |
| 웹 정보 읽기/쓰기 | None | 이 개체만 |
| 특별 권한 | None | 이 개체만 |
| 컴퓨터 특성에 대한 유효성이 검사된 쓰기 | <도메인 루트> | 하위 Computer 개체 |
| (비어 있음) | <도메인 루트> | 하위 Computer 개체 |
| (비어 있음) | <도메인 루트> | 이 개체 및 모든 하위 개체 |
| 특별 권한 | <도메인 루트> | 이 개체 및 모든 하위 개체 |
SAM 서버 개체에 대한 필수 권한
이 섹션에서는 SAM(Security Account Manager) 서버 개체(CN=Server,CN=System,DC=Contoso,DC=com)에 대한 비밀번호 쓰기 저장에 필요한 Active Directory 권한에 대해 설명합니다. SAM 서버 개체(samServer)의 보안 속성을 찾으려면 다음 단계를 수행합니다.
Active Directory 사용자 및 컴퓨터 스냅인으로 돌아갑니다.
콘솔 트리에서 시스템 컨테이너를 찾아 선택합니다.
서버(samServer 개체)를 찾아 선택한 다음 속성 아이콘을 선택합니다.
개체의 속성 대화 상자에서 보안 탭을 선택합니다.
고급 보안 설정 대화 상자를 선택합니다. 사용 권한 탭에는 각 Active Directory ID(보안 주체)에 대한 samServer 개체 사용 권한의 현재 목록이 표시됩니다.
samServer 개체에 대한 액세스 제어 항목에 다음 보안 주체 중 하나 이상이 나열되어 있는지 확인합니다. Windows 2000 이전 호환 액세스만 나열된 경우 인증된 사용자가 이 기본 제공 그룹의 구성원인지 확인합니다.
Windows 2000 이전 호환 액세스 권한(허용)
특수 권한에는 목록 내용, 모든 속성 읽기 및 읽기 권한 권한이 포함되어야 합니다.
인증된 사용자에 대한 권한(허용)
특수 권한에는 목록 내용, 모든 속성 읽기 및 읽기 권한 권한이 포함되어야 합니다.
Builtin 컨테이너에 대한 필수 권한
이 섹션에서는 Builtin 컨테이너에 대한 비밀번호 쓰기 저장에 필요한 Active Directory 권한에 대해 설명합니다. 기존 보안 권한을 보려면 다음 단계에 따라 기본 제공 개체의 보안 속성을 가져옵니다.
Active Directory 사용자 및 컴퓨터 스냅인을 엽니다.
콘솔 트리에서 기본 제공 컨테이너를 찾아 선택한 다음 속성 아이콘을 선택합니다.
계정에 대한 속성 대화 상자에서 보안 탭을 선택합니다.
고급 단추를 선택하여 고급 보안 설정 대화 상자를 봅니다. 사용 권한 탭에는 각 Active Directory ID(보안 주체)에 대한 기본 제공 컨테이너 사용 권한의 현재 목록이 표시됩니다.
이 현재 사용 권한 목록을 다음과 같이 MSOL_ 계정에 필요한 허용 권한 목록과 비교합니다.
Permission 다음에서 상속됨 적용 대상 모든 속성 읽기/쓰기 <도메인 루트> 하위 InetOrgPerson 개체 모든 속성 읽기/쓰기 <도메인 루트> 하위 Group 개체 모든 속성 읽기/쓰기 <도메인 루트> 하위 User 개체 모든 속성 읽기/쓰기 <도메인 루트> 하위 Contact 개체 필요한 경우 추가를 선택하여 현재 목록에서 누락된 필수 사용 권한 항목을 추가합니다. 또는 사용 권한 항목을 선택한 다음 편집을 선택하여 요구 사항에 맞게 해당 항목을 수정합니다. 현재 권한 항목이 하위 섹션 테이블과 일치할 때까지 이 단계를 반복합니다.
확인을 선택하여 고급 보안 설정 대화 상자를 종료하고 속성 대화 상자로 돌아갑니다.
기타 필수 Active Directory 권한
Windows 2000 이전 호환 액세스 그룹 속성에서 구성원 탭으로 이동하여 인증된 사용자가 이 그룹의 구성원인지 확인합니다. 그렇지 않으면 Microsoft Entra Connect 및 Active Directory(특히 이전 버전)의 비밀번호 쓰기 저장에 영향을 주는 문제가 발생할 수 있습니다.
필수 도메인 그룹 정책
올바른 도메인 그룹 정책이 있는지 확인하려면 다음 단계를 수행합니다.
시작을 선택하고 secpol.msc를 입력한 다음 검색 결과에서 로컬 보안 정책을 선택합니다.
콘솔 트리의 보안 설정에서 로컬 정책을 확장한 다음 사용자 권한 할당을 선택합니다.
정책 목록에서 인증 후 클라이언트 가장을 선택한 다음 속성 아이콘을 선택합니다.
속성 대화 상자에서 다음 그룹이 로컬 보안 설정 탭에 나열되어 있는지 확인합니다.
- 관리자
- LOCAL SERVICE
- NETWORK SERVICE
- SERVICE
자세한 내용은 인증 정책 후 클라이언트 가장에 대한 기본값을 참조하세요.
도움을 요청하십시오.
질문이 있거나 도움이 필요한 경우 지원 요청을 생성하거나Azure 커뮤니티 지원에 문의하세요. Azure 피드백 커뮤니티에 제품 피드백을 제출할 수도 있습니다.